近年來，IT運維服務(wù)外包已成為醫(yī)院普遍采用的模式和戰(zhàn)略發(fā)展方式，越來越多的醫(yī)院將更多的IT運維服務(wù)外包。IT運維服務(wù)外包可以使醫(yī)院信息部門更加專注于醫(yī)院信息化的核心業(yè)務(wù)和核心流程，提高IT運維服務(wù)的效率和滿意度。

根據(jù)CHIMA發(fā)布的《2018-2019年中國醫(yī)院信息化調(diào)查報告》，如圖1所示it運維外包，外包業(yè)務(wù)排名前三的分別是服務(wù)器、終端設(shè)備及周邊設(shè)備的硬件維護，以及醫(yī)院網(wǎng)站的建設(shè)和運營。網(wǎng)絡(luò)設(shè)備維護和日常運維占比分別為38.76%、32.74%、28.65%。信息系統(tǒng)應用開發(fā)外包比例為28.18%，排名第四；信息系統(tǒng)日常運維外包率為17.76%，排名第五。上述數(shù)據(jù)呈逐年上升趨勢，如圖2所示。

圖1

圖 2

然而，IT運維服務(wù)外包是一把“雙刃劍”。在助力醫(yī)院信息化發(fā)展的同時，也可能因外包商選擇不當、過度依賴外包而導致醫(yī)院信息化部門的信息泄露和能力喪失。對醫(yī)院乃至整個醫(yī)療行業(yè)產(chǎn)生負面影響的潛在風險。因此，需要做好醫(yī)院IT運維服務(wù)外包的風險管理工作。

醫(yī)院IT運維服務(wù)外包風險管理面臨的突出問題

1.外包戰(zhàn)略和外包邊界不明確

（1）醫(yī)院越來越依賴外包商。在為醫(yī)院提供服務(wù)的過程中，外包商逐漸承擔了醫(yī)院信息科工作中的關(guān)鍵環(huán)節(jié)或管理職責，導致信息科管理能力、技術(shù)能力和創(chuàng)新能力下降，甚至喪失自主控制能力，部分醫(yī)院、臨床科室直接對接HIS公司駐地工程師，滿足系統(tǒng)改造需求；協(xié)調(diào)會議。

(2）IT運維服務(wù)外包存在管理盲區(qū)。目前，越來越多的醫(yī)療IT企業(yè)如雨后春筍般涌現(xiàn)，不斷輸出移動支付、大數(shù)據(jù)、云技術(shù)、科研合作等新技術(shù).，提供患者預約、移動支付、病歷在線查詢、PACS影像在線查詢、云隨診、科研大數(shù)據(jù)分析、單病種數(shù)據(jù)庫合作等新業(yè)務(wù)場景。在這些新技術(shù)和場景中，部分醫(yī)院與湖北IT企業(yè)開展業(yè)務(wù)合作，脫離現(xiàn)有管理體系，外包管理存在盲區(qū)。

2.外包商管理機制不完善

（1）外包商管理策略并不完善，很多醫(yī)院沒有建立符合自身風險管控水平的外包商管理策略，也沒有對外包商進行分類分級管理。

（2）“準入、監(jiān)控、評估”的外包商管理閉環(huán)尚未形成，外包商的進入調(diào)查和風險評估不夠深入，缺乏深入分析外包服務(wù)的性質(zhì)和外包集中度，從而導致選擇不合適的外包商，會導致外包服務(wù)質(zhì)量下降甚至服務(wù)中斷。

（3）外包服務(wù)過程的過程中監(jiān)控流于形式。特別是對于非現(xiàn)場外包服務(wù)商來說，日常監(jiān)督管理不足，普遍呈現(xiàn)“不干涉”的狀態(tài)”。

3.外包人員管理不到位

（1）外包人員資質(zhì)審核不到位，外包人員準入標準未建立，外包人員學歷、技術(shù)能力、工作經(jīng)驗參差不齊，導致外包質(zhì)量不高服務(wù)無法保證，很多HIS公司剛招到人員就直接派人到醫(yī)院現(xiàn)場提供現(xiàn)場服務(wù)，醫(yī)院被視為公司人員的培訓場所。

（2）外包人員的賬號、密碼、權(quán)限管理混亂，不定期進行賬戶清零和權(quán)限審核，外包人員可以訪問敏感信息，存在信息泄露風險。

（3）外包人員流失率過高或參會人數(shù)不足。開發(fā)項目一般人員流失率較大。實際現(xiàn)場人員和業(yè)務(wù)外包方承諾的人員環(huán)節(jié)在資質(zhì)、技術(shù)能力、工作經(jīng)驗、數(shù)量等方面存在不一致。

4.信息安全管理薄弱

（1）外包商為了節(jié)省成本，可以降低服務(wù)器、存儲等關(guān)鍵設(shè)備的維護和維護成本，存在安全隱患。

（2）外包商內(nèi)部信息安全管控薄弱，外包商可以訪問醫(yī)院采購計劃、賬戶信息、患者信息、藥品數(shù)據(jù)等敏感數(shù)據(jù)，外包商缺乏對公司人員的信息安全教育。

（3）醫(yī)院信息部對外包商的信息安全管控薄弱。某公司曾將其服務(wù)的多家醫(yī)院客戶的業(yè)務(wù)數(shù)據(jù)庫進行備份，并作為測試庫恢復到公司服務(wù)器，其中包含一個大量真實數(shù)據(jù)。

醫(yī)院IT運維服務(wù)外包風險管理策略

1.組織管理

（1）醫(yī)院應制定明確的外包管理策略，嚴格控制外包業(yè)務(wù)范圍。

（2）醫(yī)院應建立明確的外包風險管理組織架構(gòu)，明確主管部門，建立健全IT運維服務(wù)外包管理相關(guān)制度。

（3）加強醫(yī)院信息化規(guī)劃設(shè)計、系統(tǒng)需求管理、項目進度和質(zhì)量控制等核心業(yè)務(wù)和關(guān)鍵節(jié)點的自控，減少外包依賴。

2.外包商管理

（1）制定外包商管理策略，建立“準入-每日監(jiān)控-評價-退出”的管理閉環(huán)。

（2）認真制定外包商準入標準。通過外包服務(wù)招投標、合同等方式控制外包人員隊伍的資質(zhì)和穩(wěn)定性。明確外包商準入標準，建立外包商分級管理和退出機制。重大風險和違規(guī)企業(yè)應及時終止合作。

（3）加強對外包商的流程監(jiān)控，定期檢查，評估業(yè)務(wù)風險合規(guī)性，提高風險防范意識。

3.外包人事管理

（1）制定外包人員資格審查標準，加強外包人員資格審查。

(2）加強對外包人員服務(wù)過程的考核評價，建立服務(wù)質(zhì)量評價和監(jiān)測指標，充分利用評價結(jié)果通過合同條款達成協(xié)議，確保醫(yī)院對外包人員的利益。最大程度。

(3）改變基于項目的外包管理模式it運維外包，使用人力資源外包模式。

(4）建立知識管理體系。知識的不斷積累和更新是提高運維團隊能力的基礎(chǔ)。將個人知識轉(zhuǎn)化為組織知識，積累在知識庫系統(tǒng)中，可以有效避免人員流動帶來的問題，信息孤島和知識流失。

4.數(shù)據(jù)安全管理

(1）嚴格權(quán)限控制。嚴格控制外包人員的權(quán)限分配，按照“必要”和“最小”的原則限制外包人員對敏感數(shù)據(jù)的訪問范圍；權(quán)限可更改，可登錄相應地出來。

（2）安全的細化和維護。對于系統(tǒng)安裝、程序更新等，制定標準規(guī)范和工作流程，形成固定的機制和模式。

（3）加強媒體管理，對外包商使用筆記本電腦、U盤、移動硬盤復制數(shù)據(jù)、發(fā)送郵件等進行審查和管理。

綜上所述，醫(yī)院信息部門需要時刻保持警惕，不斷識別和判斷IT運維外包服務(wù)的潛在風險，識別導致風險的主要因素和可能產(chǎn)生的后果。同時，對已識別的風險進行優(yōu)先級排序，通過對風險發(fā)生概率和影響程度的綜合評估，確定其優(yōu)先級，制定有針對性的風險處置計劃。

【關(guān)于作者】

郝尚勇現(xiàn)任天津醫(yī)科大學附屬腫瘤醫(yī)院（天津市腫瘤醫(yī)院）綜合辦公室副主任、高級工程師。2000年6月畢業(yè)于天津大學管理信息系統(tǒng)專業(yè)，2012年6月獲得天津大學軟件工程碩士學位。2000年7月參加工作以來，一直從事規(guī)劃建設(shè)、設(shè)計、醫(yī)院信息系統(tǒng)的開發(fā)、運維服務(wù)和信息化管理。2008年6月至2018年10月任天津醫(yī)科大學附屬腫瘤醫(yī)院計算機網(wǎng)絡(luò)中心主任。

中國醫(yī)院協(xié)會信息化專業(yè)委員會委員，中國衛(wèi)生信息學會電子病歷與醫(yī)院信息化專業(yè)委員會委員，中國醫(yī)療器械學會數(shù)字化醫(yī)療技術(shù)分會委員，中國研究型醫(yī)院協(xié)會醫(yī)學與臨床研究大數(shù)據(jù)應用專業(yè)委員會委員、天津市衛(wèi)生信息學會常務(wù)理事、健康與健康建設(shè)專家等多項學術(shù)兼職天津信息化。