黑龙江省绥棱 本地 县ISO22163认证条件CMMI认证

ISO20000认证的关键点 1. 确保各项服务管理计划均有实施凭证 服务管理计划凭证指的是服务管理政策、计划和方法以及任何与这些相关的行动的审计凭证。大多数这些关于服务管理计划和操作的凭证应该存在于正式的文档，确保各项工作都在按照计划进行实施。 2. 文档管理规范 针对文档创建和管理的过程来保证各流程服务特性被恰当的描述。 3. 各类文档的存档方式 为确保已有凭证的可用性，需要建立起一套将各类文档保护起来的备份策略。 ISO 20000认证关键点 服务管理中的服务支持人员应该具备由适当的培训所支持的工作能力。组织应该对每个服务管理角色定义必要的能力，并保证个人能意识到他们自己的工作对整个服务上下的重要性以及对服务品质完成的必要性。组织应该提供培训或采取行动来满足这些需要，并实施行动有效性的评估。 组织应该开发和加强员工工作的专业能力。在征召新人的过程中，应该针对职位的描述、服务管理目标和整个服务质量目标检查职位申请人的情况有效性，确定申请人的特长、弱点和潜在能力。为了安置新的或扩展服务的员工，使用新技术，安排服务管理人员开发项目团队，不断计划和填补由于人员周转造成的缺口。员工应该在服务管理相关领域得到训练，应该开发他们的团队工作和领导技能。对每个人的训练记录以及训练的说明应该被保留。 文档管理 概述 每一个组织都希望结合自身特色有效管理和实施所有IT服务所需的方针和框架，这就意味着需要制定恰当合理的管理政策、计划，用以规范、细化相关的活动，使管理使命、目标得以落实。这些管理政策、计划、活动记录将以文档作为载体进行保存，并在实施过程中指导服务开展，成为落实服务管理政策、计划的保障和检验实施效果的依据。 文档管理(Documentation Management)是针对文档创建和管理的过程，用以确保服务特性、管理政策、计划被适时的、恰当的描述，以便控制和管理与质量体系有关的文档资料，确保对质量管理体系有效运行起重要作用的各个场所都能得到和使用相应体系文档的有效版本。 以下是文档管理相关的一些概念： 受控文档：指按组织管理要求进行审批、登记、分发并能确保收回、销毁的文档。受控文档需要对文档的版本进行严格控制，确保文件的 有效性。一般来说这些文档是长期使用并始终处于修改和换版状态的，如组织的规章制度。 质量文档：质量体系要求的各流程各种类型文件和记录所要求的形成文件的过程和程序、要求的记录，以确保服务管理的有效计划、运行和控制，包括以任何形式或类型的媒体作为载体的文件化的服务管理方针和计划、文件化的服务等级协议、方法、流程、流程控制记录等。 文档访问控制：文档访问控制实质上是对文档访问者使用受控文档的限制，它决定是否允许访问者对不同类型的文档进行借阅、更新、发布等操作。并通过制度及工具确保只有经授权的用户，才允许对相应的文档进行相关操作。 目标 文档管理的目的在提供服务管理政策、计划和方法以及任何与这些相关的行动的凭证，以达到有效管理和实施IT服务的政策和框架这一目标。为达到这一目标需要通过以下几个方面来实现： (1) 完善组织的质量文档管理，控制和管理与质量体系有关的文档资料，确保对质量管理体系有效运行起重要作用的各个场所都能得到和使用相应体系文档的有效版本。 (2) 建立不同类型文件和记录的编制、评审、批准、保持、销毁和控制的程序和职责。 (3) 满足组织文档内容管理需求，包括建立组织文档体系架构，规范组织文档命名规则，对不同类别的文档的生命周期进行分类管理，包括文档生成、文档更新、文档发布、文档借阅、文档销毁； (4) 完善文档备份机制以确保文档的可用性，并针对不同类型的文档进行分级分类的信息安全管理，文档访问控制信息安全、防止信息泄露。 有效的文档管理可以改善IT服务提供者的管理难度，推动质量体系的落地、促进各流程工作的开展。 与其他流程的关系 文档管理工作是质量体系实施中所不可缺少的一部分，从一定意义上讲，ISO 20000的实施就是制定策略及计划，按照计划实施，生成文档、讨论文档并终确定文档的一系列过程。当然，ISO 20000实施绝不是就是“纸上谈兵”，这里所说的文档包含的内容非常广泛，其中有很多是服务管理方针和计划、文件化的服务等级协议、方法等，但更加关键的是，这些文档中还包括流程和流程控制记录等，当具体工作和活动执行过后，文档就成了审计的凭证。所以，我们可以说，文档管理与ISO 20000各个流程都息息相关，其专业化程度可以是反映整个ISO 20000管理水平的一个侧面。 文档访问控制需按照信息安全管理流程要求进行对文档进行分级，并对不同分级的文档进行权限管理，控制文档的访问者，确保信息安全。 活动和过程 1. 文档分类 文档分类可从多个角度进行，包括从保存介质上的分类、从内容上的分类、从使用范围的分类等。 一般来说，文档从内容上分类可分为管理文档、技术文档；从保存介质上分，可分为纸质文档、电子文档；从使用范围来分可分为公开使用、内部使用等。 不同的文档分类方式，对于文档管理的意义也是不同的，例如对文档内容的分类，旨在建立文档知识体系架构，一方面通过统一规划的文档架构能清晰地对已有的各个流程的进展情况进行管理、跟踪、审计，另一方面文档分类也可指导组织的知识体系建立，是组织整体管理思路的展现。而从文档使用范围的分类则提出了对文档访问控制的要求。 2. 文档控制 受控文档的审批、发布、发放、分发、更改、保管和作废过程中应符合信息安全管理流程的相关要求。受控文档应做好版本管理，以保证需要文档者获得 版本文档。 (1) 文档的编写、审核、批准 文档需按文档编写规范进行编写，文档内容在发布前须经相关负责人审核以规范文档格式，确保文档准确、恰当地描述管理政策、计划，确保文档内容的真实性。经审核的文档由负责人批准后可进行发布。 (2) 文档发布 文档由文档撰写/修改者提交，经由相关责任人批准后统一、集中的发布在相关处所。为使阅览者得到和使用相关文档的有效版本，文档需进行统一的发布管理以保证文档发布版本的 性。 (3) 文档的归档控制 各类文档由文档管理员根据内容、年度、部门等情况定期进行归档。 (4) 文档阅览 组织根据信息安全管理流程对文档进行安全分级，对文档及文档的历史版本进行访问控制，设定各类文档的访问列表，并通过工具的使用确保文档被适当保护的同时也要方便阅览者阅览文档。 (5) 文档更改/销毁 文档由原文档编制人或相关管理人员进行修改，经负责人审核批准后进行发布，替换老版本。 纸质文档更改后的文档按该文档发放清单逐次回收更替原文档；文档更改除特别批准外，一律采用以旧换新方法进行。回收文档的文档需进行统一的保管，机密文件应集中销毁。 (6) 文档权限管理 文档权限管理又称文档访问控制，各类受控文档需按照信息安全管理流程要求进行分级，并对不同分级的文档进行权限管理，控制文档的访问者，确保信息安全。文档权限管理包括对文档阅览、文档上载、文档修改、文档审批等权限的集中管理。 (7) 文档的修订 文档不是封闭的、静止的，随着业务发展、技术更新，文档需要不断地修订，保持其有效性，以适应不断变化的管理需求。秉承PDCA的管理理念，对文档，特别是质量体系文档提出在规定时间内至少修订一次的要求，整理文档修订计划，检验落实情况，督促文档及时修订，确保文档的有效性。 (8) 制定文档命名规范 文档的规范化程度反映出文档管理的水平，规范化首先需要对文档进行内容分类，概括同类文档的共同点，以此作为文档规范化、模板化的依据。文档规范化、模板化有利于对文档进行分类管理，通过经验累积分析找出各类文档的不足之处。文档命名规范属于文档规范化的一部分，制定文档命名规范需要跟据组织需求对文档进行分类，不同类别的文档使用相应的命名规范，便于文档的查找，并为文档的分类管理奠定了坚实的基础。 流程控制 1. 文档管理流程的角色定义、职责 (1) 文档管理员 负责管理各类文档，拟定文档修订计划，根据安全管理要求对各类文档进行安全分级，设置不同安全级别文档的权限。组织可根据自身特点设一个或多个文档管理员管理文档。 (2) 文档安全审核员 负责文档安全合规性管理及审计。 2. 管理工具 (1) 电子化的文档管理平台 文档分散为文档管理带来许多问题，包括文档查找、文档版本控制、文档安全管理等。组织建立起文档管理平台后，可通过集中文档、统一管理的方式，在平台上共享各类工作文档，提高了文档的使用频率，使文档发挥出 的效用。完善的备份机制，全文检索功能，文档版本控制的功能，文档电子审批功能，文档归档功能，信息权限管理功能等等，为组织提供了安全、便捷的文档处理中心，提高了文档的及时性和准确性。 (2) 制度评审体制 为保证各类流程管理制度及时更新，组织须规范规章制度建设活动，建立和完善规章制度体系，制定流程管理制度更新计划，定期组织制度评审会，对流程拟新增发布、修订、合并及废止的规章制度进行评审。制度评审会对流程管理制度的合规性、合理性、严密性和操作性进行评估，并及时废止失效的制度，确保各流程管理制度能及时优化，同时通过制度评审会，组织内部对各流程管理制度达成一致的见解，为管理流程的落实做好铺垫。 (3) 关键指标KPI指标的设置 文档管理成功与否在于两点：其一是否建立合理的文档管理体系。文档管理体系可通过规范各类文档的定义，规范文档的编写，定义各项工作的可交付文档，以此来检查各项工作的开展情况，也便于对文档的日常维护和查找。当然，合理的文档管理体系不是一朝一夕能够建成的，需要长期累积，并在实施中不断完善，适应不断变化的管理要求。 文档管理另一个要求就是能够控制和管理与质量体系有关的文档资料，确保对质量管理体系有效运行起重要作用的各

iso9001:2015认证实施过程方法审核重点 ISO9001：2015标准倡导“过程方法”要与“PDCA循环”和“基于风险的思维”相结合。 ISO9000：2015中3.13.1对“审核”定义为：为获得客观证据并对其进行客观的评价，以确定满足审核准则的程度所进行的系统的、独立的并形成文件的过程。 东莞iso9001:2015认证过程一般分为以下几种形式： 1-用于组织的管理过程，2-用于资源管理的过程，3-用于产品和服务实现的过程，4-用于测量、分析与改进的过程。 过程方法审核思路和考虑内容 1-确定过程（涉及ISO9001：2015-4.4条款）， 2-过程的环境状况（涉及ISO9001：2015-4.1条款）， 3-确定过程的管理者（涉及ISO9001：2015-5.3条款）， 4-过程中如何考虑以顾客为关注焦点（涉及ISO9001：2015-5.1.2条款）， 5-过程的输入， 6-过程有哪些相关方（涉及ISO9001：2015-4.2条款），如何沟通（涉及ISO9001：2015-7.4条款）？ 7-主要的过程活动是什么？ 8-过程有哪些风险和机遇，如何应对（涉及ISO9001：2015-6.1条款）？ 9-过程接口是什么？ 10-过程输出 11-如何测量监控过程（涉及ISO9001：2015-7.1.5条款） 12-过程中形成文件信息的控制（涉及ISO9001：2015-7.5条款） 13-如何测量监控结果与所订目标比较（涉及ISO9001：2015-6.2条款） 14-过程结果是否满足顾客要求？（涉及ISO9001：2015-8.2条款） 15-如果发生变更，如何管理变更？（涉及ISO9001：2015-6.3条款） 16-如何获取过程相关知识？（涉及ISO9001：2015-7.1.6条款） 通过过程方法审核中结合“PDCA循环”和“基于风险的思维”的要求，每个过程审核除过程本身要素的ISO9001：2015的相关条款，还要应考虑：ISO9001：2015的4.1、4.2、4.4、5.3、5.1.2、6.1、6.2、6.3、7.1.5、7.1.6、7.4、7.5、8.2等，可见：实施过程方法审核，每个过程的审核不再是只关注一个条款的要求，而是重点关注每个过程：有哪些风险和机遇、如何实现以顾客为关注焦点、测量监控结果与所订目标比较是否实现、是否满足顾客要求等。真正体现了QMS的有效性和增值性。

ISO13485:2016 与上一版主要区别之一就是基于风险管理的思想融入到标准中来。据统计，ISO13485:2016 整个标准中提到“风险”的次数总共是32 次，其中在正文中提到20 次：引言中提到2 次；术语和定义中提到4 次；质量管理体系中提到3 次；人力资源中提到1 次；产品实现中提到9 次；测量、分析和改进中提到1 次。从中可以看出，产品实现是实施风险管理的重点。这也向YY/T0316-2015( 等同采用ISO14971:2007修订版) 中风险管理适用于医疗器械整个生命周期的要求靠拢。本文主要针对产品实现过程中风险管理的应用进行探讨；另外，有些企业在产品上市后如何应用风险管理有些困惑，本文也将涉及这方面的内容。 1.产品实现过程中风险管理的应用 ISO13485:2016 第7 章产品实现中共提到9 次风险，主要是在产品实现策划，设计输入，设计更改，采购过程，采购产品的验证，生产和服务提供过程的确认，监视和测量设备的控制中提到。 1.1 产品实现的策划要求在产品实现过程中，将风险管理的一个或多个过程形成文件。 风险管理的一个或多个过程形成文件至少应包括ISO13485:2016 第7 章中有关风险的要求，如果第7 章中不适用的内容，应该有文字说明，并且有相应级别的人员批准。在产品实现的策划实际操作中，风险管理的内容如果只是涉及ISO13485:2016 第7 章要求的内容往往是不够的。例如，设计和开发输入要求应包括适用的风险管理的一个或多个输出，设计输入有关于风险管理的要求，那设计输出和设计验证/确认呢？对于产品风险控制的措施，无论是外协外购，还是企业自己生产、组装、调试，终要落实到设计输出中，所以 要在产品的设计输出中识别出与安全相关的特性，这也为后续与有关风险的设计更改，采购过程，采购产品的验证，生产和服务提供过程的确认，监视和测量设备的控制提供了依据；为了确保医疗器械的安全、有效，与风险有关的验证/ 确认和与风险无关的验证/ 确认，方法应有所不同，与风险有关的验证/确认应该更加严苛。ISO13485:2016 没有在设计输出和设计验证/确认中提出与风险管理有关的要求，但是笔者认为无论从企业质量管理体系或风险管理实践的角度，还是从保证医疗器械安全、有效的角度，这都是标准改进的机会。 1.2 设计和开发输入要求之一是应确定与产品要求有关的输入，这些输入应包括适用的风险管理的一个或多个输出。 产品的设计输入和风险管理活动都应该在产品开发之初进行，他们相互交织，互相影响。法规、 标准（包括安全标准）是产品设计输入的一部分，风险管理活动的输出也是设计输入的一部分；风险管理活动中所识别危险(hazard)的风险的合理可行的评判准则之一是符合相关产品的安全标准。举例说明，对于电气医疗器械来说设计输入应该包括符合GB9706.1-2007标准要求，如果在设计输入中只写满足GB9706.1-2007标准，这将使设计工程师无从下手，不知道如何设计，应该将标准的要求细化，这就需要风险管理活动的输出。产品设计之初首先要识别产品的危险（源），为了能全面识别危险（源），企业 按照YY/T0316-2016 附录E 的示例进行识别，不适用的危险可以提供合理的说明，建议与适用的危险放在一起以使别人对产品的危险有总体认识。YY/T0316-2016 附录E中“高温”是危险之一，失火将导致高温危险，所以防火要求将是产品的设计输入之一。防火、阻燃方法将是风险控制措施，采取风险控制措施后，“高温”的风险是否可接受，这些都是风险管理活动的输出，如何满足产品的防火、阻燃要求，至少应该符合GB9706.1-2007 中43 章的要求；又如，对于电气医疗器械来说，很多要使用网电源，这都有“电击”的危险，设备在正常使用或单一故障时都应该安全，这是GB9706.1-2007的要求，将作为设计输入之一。绝缘击穿将导致电击的风险，根据电气医疗器械的类和型，要采取相应的绝缘措施，采取绝缘措施后，“电击”风险是否可接受，要符合GB9706.1-2007第20章的要求，这些都是风险管理活动的输出。 1.3 设计和开发更改的要求之一是设计和开发更改的评审应包括评价更改对产品组成部分和在制品，或已交付产品以及风险管理的输入，或输出和产品实现过程的影响。 在此建议企业做设计更改时需有一个检查单，其中有一条来判断所做的更改是否与风险管理活动相关，然后根据对风险管理输入或输出影响程度和范围，采取相应的措施。 1.4 采购过程的要求之一是组织应建立评价和选择供方的准则，准则之一就是与医疗器械相关风险相适应，另外对未履行采购要求的供方的处置应与所采购产品有关的风险相适应，并符合适用的法规要求。 正如在1.1 中所述，在设计输出中要识别出与风险管理活动相关的特性，或者说与安全有关的特性，形成企业与供方的共同语言，对于提供与风险管理活动相关的部件、过程、服务的供方选择准则应根据产品特性制定更加严格的标准。例如，对1.2 中提到的防火、阻燃材料供方与提供一般材料的供方准则应有所不同，要求应更多，并且严苛。如果供方没有按照采购要求提供产品，并且该采购产品与医疗器械的风险相关，那么对供方的处罚要根据后果采取更加严厉的措施，这些应写在给供方的采购信息中。因为如果供方未履行与风险相关的采购要求，有可能导致不可接受的风险，给患者与使用者造成伤害，给财产造成损失，导致召回，降低了企业的信誉。 1.5 采购产品的验证要求之一是组织应确定并实施检验或其他必要的活动，以确保采购的产品满足规定的采购要求。 验证活动的范围应基于对供方评价的结果，并与采购产品有关的风险相适应。采购产品的验证活动应与产品的风险相适应，企业采购的产品，过程，服务千差万别，多种多样，这些对产品的安全性影响也各不相同，这种影响的判断是风险管理的输出，也应该体现在设计输出及采购信息中，设计输出及采购信息将是采购产品验证的基础。还以1.2 中提到的防火、阻燃材料为例，这些采购要求及验证方法应该体现企业提供给供方的采购信息中。一般情况，供方对采购产品的生产、检验比企业更专业。对于与风险有关的安全部件验证，我们可以要求供方制定采购部件质量计划，全面将安全部件的采购要求落实到生产和检验中去，这个计划得到企业的批准。采购产品验证时，企业可以自己验证，但更经济、有效的方法可以要求供方提供生产、检验记录、材料符合性证明等，企业检查记录的符合性并存档保存。对提供与风险有关安全部件的供方的审核及采购产品跟踪检查根据企业自身情况应比其他类型的部件更加严苛。需要说明的是与风险有关的安全性零部件验证成本比非安全零部件的成本要高，终会转嫁到消费者身上，这种安全部件的验证方法并不适用所有的零部件。企业应该把有限的资源更多地投入到与风险有关的安全性零部件，保证医疗器械的安全、有效。 1.6 现代医疗器械的生产和服务活动以及监视和测量设备所用到的软件越来越多，对这类软件初次使用的确认及更改后的再确认的要求在ISO13485:2016 的7.5.6 及7.6 中都有提及，并且这种确认与再确认的要求应与有关的风险相适应。需要强调的是，“有关的风险”应该在产品的设计输出中识别出为安全特性，相关软件使用时要确保这些安全特性满足规定的要求。 2.产品上市后风险管理的应用 ISO13485:2016 的8.2.1章要求从反馈过程中收集的信息应用作监视和保持产品要求的风险管理的潜在输入，以及产品实现或改进过程的潜在输入。 与风险相关的内容，简单地说，就是反馈收集的信息作为风险管理的潜在输入。风险是伤害（harm）发生的概率和该伤害严重度的组合。在产品开发的时候，对某个危险（harzard）进行风险评估，确定该危险所造成伤害的严重性和发生概率，进而确定该危险的风险可接受程度。这些都是产品上市前企业自己的评估，实际情况是否与企业自己的评估一致，还要看产品上市后产品的反馈数据。对产品的满意度和判断产品的安全性、有效性，直接有效的反馈就是客户了。客户反馈的问题中既有质量方面的问题，也有关于产品安全方面的问题，所有这些都应该是客户抱怨的记录。所以对客户抱怨数据分析的结果可以作为风险管理的潜在输入，这也符合风险管理适用于产品全寿命周期的要求。例如，将某一段时间内所有客户抱怨的数据拿出来分析，把所有有关风险/安全相关的客户抱怨找出来，并且将同样的危险（harzard）归类统计。看是否有伤害（harm）发生，如果发生了伤害，再判断伤害的严重度与产品开发时的判断是否一致，如果不一致则应更改原有的风险管理文件，重新进行风险评定、风险控制等风险管理过程；对于概率，YY/T0316-2016 附录D中要求当可获得足够数据时，优先采用概率水平的定量分类，定性及定量的概率分类在产品上市前企业应该定义出来，产品上市后概率计算可参照下面计算： P=h/(O×U×52) P ：代表发生概率 O ：代表单位医疗器械一周内使用的次数 U ：代表一年内在客户现场医疗器械总的数量 52 ：代表一年有52 周 不同的医疗器械使用的公式有所不同，总的原则是发生某一危害/ 危害状态的次数与客户使用医疗器械总机会的比值。产品上市后伤害发生概率也将作为风险管理的输入，方法与伤害的严重度作为风险管理的输入类似。就是反馈收集的信息作为风险管理的潜在输入。 3.结语 我国等同采用ISO13485:2016 认证的标准YY/T0287 即将发布（注：已经发布），其中与上一版的一个主要区别是基于风险管理的思想融入到标准中来，这对企业来说也是一个新的课题，产品实现过程的风险管理及产品上市后的风险管理是其中的重要方面，其他方面我们也应该加以研究，落实到企业的质量体系中来以符合ISO13485:2016。