近年來，IT運(yùn)維服務(wù)外包已成為診所普遍采用的模式和戰(zhàn)略發(fā)展方式，越來越多的診所將更多的IT運(yùn)維服務(wù)外包。 IT運(yùn)維服務(wù)外包可以使診所信息部門將更多的精力集中在診所信息化的核心業(yè)務(wù)和核心流程上，提高IT運(yùn)維服務(wù)的效率和滿意度。

根據(jù)CHIMA發(fā)布的《2018-2019年中國(guó)診所信息化調(diào)查報(bào)告》，如圖1所示，排名前三的外包業(yè)務(wù)分別是服務(wù)器、終端設(shè)備及周邊設(shè)備的硬件維修、診所網(wǎng)站的建設(shè)與運(yùn)營(yíng)。 網(wǎng)絡(luò)設(shè)備維護(hù)和日常運(yùn)維占比分別為38.76%、32.74%和28.65%。 信息系統(tǒng)應(yīng)用開發(fā)外包比例為28.18%，排名第四； 信息系統(tǒng)日常運(yùn)維外包比例為17.76%，排名第五。 上述數(shù)據(jù)均呈逐年上升趨勢(shì)，如圖2所示。

圖1

圖 2

然而，IT運(yùn)維服務(wù)外包是一把“雙刃劍”。 在推動(dòng)診所信息化發(fā)展的同時(shí)，也可能因外包商選擇不當(dāng)、過度依賴外包而造成信息泄露，醫(yī)院信息部門能力喪失。 潛在的風(fēng)險(xiǎn)，對(duì)診所乃至整個(gè)醫(yī)療行業(yè)的負(fù)面影響。 因此，我們需要做好診所IT運(yùn)維服務(wù)外包的風(fēng)險(xiǎn)管理工作。

診所IT運(yùn)維服務(wù)外包風(fēng)險(xiǎn)管理面臨的突出問題

1. 外包策略和外包邊界不清晰

(1)診所對(duì)外包商的依賴度不斷降低。 在為診所提供服務(wù)的過程中，外包商逐漸承擔(dān)了診所信息部門工作中的關(guān)鍵環(huán)節(jié)或管理職責(zé)，帶動(dòng)了信息部門管理能力、技術(shù)能力和創(chuàng)新能力的增長(zhǎng)，甚至喪失自主控制能力。 部分診所臨床科室直接與HIS駐場(chǎng)工程師溝通，滿足系統(tǒng)變更需求； 在一些診所，外包公司的人員甚至代替診所信息部直接參加診所工作會(huì)議或協(xié)調(diào)會(huì)議。

(2)IT運(yùn)維服務(wù)外包存在管理盲區(qū)。 目前，越來越多的醫(yī)療IT企業(yè)如雪后生菜般涌現(xiàn)，不斷輸出聯(lián)通支付、大數(shù)據(jù)、云技術(shù)、科研合作等新技術(shù)，提供患者預(yù)約、移動(dòng)支付、病歷在線查詢、 PACS圖像在線查詢、云計(jì)算服務(wù)。 復(fù)診、科研大數(shù)據(jù)分析、單病種數(shù)據(jù)庫合作等新業(yè)務(wù)場(chǎng)景。 在這種新技術(shù)、新場(chǎng)景下，部分診所與廣東IT企業(yè)的業(yè)務(wù)合作脫離了現(xiàn)有的管理體系，外包管理存在盲區(qū)。

2、外包商管理機(jī)制不完善

(1)外包商管理策略不完善。 很多診所沒有完善符合自身風(fēng)險(xiǎn)管控水平的外包管理策略，沒有對(duì)外包商進(jìn)行分類分級(jí)管理。

（2）沒有“準(zhǔn)入、監(jiān)控、評(píng)估”的外包商管理閉環(huán)。 對(duì)外包商的調(diào)查和風(fēng)險(xiǎn)評(píng)估不夠深入，對(duì)外包服務(wù)的性質(zhì)和外包集中度缺乏深入分析，導(dǎo)致選擇不合適的外包商，導(dǎo)致外包服務(wù)質(zhì)量提高，甚至服務(wù)中斷。

（三）外包服務(wù)過程的過程中監(jiān)控只是一種手段。 尤其是對(duì)非居民外包服務(wù)商缺乏日常監(jiān)督管理，普遍呈現(xiàn)“放手掌柜”狀態(tài)。

3、外包人員管理不到位

（一）外包人員資格審查不到位。 外包人員準(zhǔn)入標(biāo)準(zhǔn)不完善，外包人員學(xué)歷、技術(shù)能力、工作經(jīng)歷參差不齊，外包服務(wù)質(zhì)量難以保證。 很多HIS企業(yè)將急聘人員直接派往診所進(jìn)行現(xiàn)場(chǎng)服務(wù)，并將診所作為公司人員的培訓(xùn)場(chǎng)所。

（2）外包人員賬號(hào)、密碼、權(quán)限管理混亂。 不定期進(jìn)行賬戶清算和權(quán)限審核，外包人員可能接觸到敏感信息，存在信息泄露風(fēng)險(xiǎn)。

（三）外包人員流失率低或到場(chǎng)人數(shù)不足。 開發(fā)項(xiàng)目的人員流動(dòng)率普遍較高。 實(shí)際現(xiàn)場(chǎng)人員與業(yè)務(wù)環(huán)節(jié)外包方承諾的人員在資質(zhì)、技術(shù)能力、工作經(jīng)驗(yàn)、數(shù)量等方面不一致。

4、信息安全管理薄弱

（1）外包商為了節(jié)約成本，能省就省，降低服務(wù)器、存儲(chǔ)等關(guān)鍵設(shè)備的維修保養(yǎng)成本，存在安全隱患。

（二）外包方內(nèi)部信息安全控制薄弱。 只有外包人員才能訪問敏感數(shù)據(jù)，如診所采購計(jì)劃、賬戶信息、患者信息和藥物數(shù)據(jù)。 外包商缺乏對(duì)公司人員的信息安全教育。

(3)門診信息部門對(duì)外包商的信息安全管控薄弱。 以往，某公司將其服務(wù)的多個(gè)診所客戶的業(yè)務(wù)數(shù)據(jù)庫進(jìn)行備份，恢復(fù)到公司服務(wù)器上作為測(cè)試庫使用，其中包含大量真實(shí)數(shù)據(jù)。

診所IT運(yùn)維服務(wù)外包的風(fēng)險(xiǎn)管理策略

一、組織管理

（一）診所應(yīng)制定明確的外包管理策略，嚴(yán)格控制外包業(yè)務(wù)范圍。

（二）診所應(yīng)完善清晰的外包風(fēng)險(xiǎn)管理組織架構(gòu)，明確主管部門，建立健全I(xiàn)T運(yùn)維服務(wù)外包管理相關(guān)制度。

（三）加強(qiáng)診所信息化規(guī)劃設(shè)計(jì)、系統(tǒng)需求管理、項(xiàng)目進(jìn)度和質(zhì)量控制等核心業(yè)務(wù)和關(guān)鍵節(jié)點(diǎn)的自主可控，加大對(duì)外包依賴。

2.外包商管理

(1)構(gòu)建外包商管理策略。 構(gòu)建“準(zhǔn)入-日檢-評(píng)價(jià)-退出”的管理閉環(huán)。

（二）審慎制定外包商準(zhǔn)入標(biāo)準(zhǔn)。 通過外包服務(wù)招標(biāo)和協(xié)議，控制外包人員隊(duì)伍的資質(zhì)和穩(wěn)定性。 明確外包商準(zhǔn)入標(biāo)準(zhǔn)，建立外包商名單制分級(jí)管理和退出機(jī)制，對(duì)存在重大風(fēng)險(xiǎn)和違法行為的企業(yè)及時(shí)暫停合作。

（三）加強(qiáng)外包商過程監(jiān)控，定期檢查，評(píng)估業(yè)務(wù)風(fēng)險(xiǎn)合規(guī)性，提高風(fēng)險(xiǎn)防范意識(shí)。

3、外包人員管理

（一）建立外包人員任職資格審查標(biāo)準(zhǔn)，加強(qiáng)外包人員任職資格審查。

(2)加強(qiáng)對(duì)外包人員服務(wù)過程的評(píng)價(jià)和評(píng)價(jià)，建立服務(wù)質(zhì)量評(píng)價(jià)和監(jiān)控指標(biāo)，充分利用評(píng)價(jià)結(jié)果就協(xié)議條款達(dá)成一致，最大限度地保證診所的利益程度。

(3)改變以項(xiàng)目為基礎(chǔ)的外包管理模式，轉(zhuǎn)為人力資源外包模式。

(4)構(gòu)建知識(shí)管理體系。 知識(shí)的不斷積累和更新是提升運(yùn)維團(tuán)隊(duì)能力的基礎(chǔ)。 將個(gè)人知識(shí)轉(zhuǎn)化為組織知識(shí)并積累在知識(shí)庫系統(tǒng)中pc運(yùn)維外包，可以有效防止人員流動(dòng)造成的信息孤島和知識(shí)流失。

4、數(shù)據(jù)安全管理

（一）嚴(yán)格權(quán)限控制。 嚴(yán)格控制外包人員的權(quán)限分配，按照“必要”和“最少”的原則，限制外包人員接觸敏感數(shù)據(jù)的范圍； 根據(jù)外包人員的調(diào)整，及時(shí)更改和取消賬戶權(quán)限。

(2)細(xì)化維護(hù)保障。 對(duì)于安裝系統(tǒng)、程序更新等，制定標(biāo)準(zhǔn)規(guī)范和工作流程pc運(yùn)維外包，形成固定機(jī)制和模式。

（三）加強(qiáng)媒體管理。 外包人員利用電腦筆記本、U盤、移動(dòng)硬盤復(fù)制資料、發(fā)送短信等行為，必須進(jìn)行審查和管理。

綜上所述，診所信息部門需要時(shí)刻保持警惕，不斷識(shí)別和判斷IT運(yùn)維外包服務(wù)的潛在風(fēng)險(xiǎn)，識(shí)別風(fēng)險(xiǎn)產(chǎn)生的主要原因和可能產(chǎn)生的后果。 同時(shí)，對(duì)識(shí)別出的風(fēng)險(xiǎn)進(jìn)行優(yōu)先級(jí)排序，通過綜合評(píng)估風(fēng)險(xiǎn)發(fā)生的概率和影響，確定優(yōu)先級(jí)，有針對(duì)性地制定風(fēng)險(xiǎn)處置方案。