近年來，IT運(yùn)維服務(wù)外包已成為醫(yī)院普遍采用的模式和戰(zhàn)略發(fā)展方式，越來越多的醫(yī)院將更多的IT運(yùn)維服務(wù)外包。IT運(yùn)維服務(wù)外包可以使醫(yī)院信息部門更加專注于醫(yī)院信息化的核心業(yè)務(wù)和核心流程，提高IT運(yùn)維服務(wù)的效率和滿意度。

根據(jù)CHIMA發(fā)布的《2018-2019年中國醫(yī)院信息化調(diào)查報告》，如圖1所示it運(yùn)維外包，外包業(yè)務(wù)排名前三的分別是服務(wù)器、終端設(shè)備及周邊設(shè)備的硬件維護(hù)，以及醫(yī)院網(wǎng)站的建設(shè)和運(yùn)營。網(wǎng)絡(luò)設(shè)備維護(hù)和日常運(yùn)維占比分別為38.76%、32.74%、28.65%。信息系統(tǒng)應(yīng)用開發(fā)外包比例為28.18%，排名第四；信息系統(tǒng)日常運(yùn)維外包率為17.76%，排名第五。上述數(shù)據(jù)呈逐年上升趨勢，如圖2所示。

圖1

圖 2

然而，IT運(yùn)維服務(wù)外包是一把“雙刃劍”。在助力醫(yī)院信息化發(fā)展的同時，也可能因外包商選擇不當(dāng)、過度依賴外包而導(dǎo)致醫(yī)院信息化部門的信息泄露和能力喪失。對醫(yī)院乃至整個醫(yī)療行業(yè)產(chǎn)生負(fù)面影響的潛在風(fēng)險。因此，需要做好醫(yī)院IT運(yùn)維服務(wù)外包的風(fēng)險管理工作。

醫(yī)院IT運(yùn)維服務(wù)外包風(fēng)險管理面臨的突出問題

1.外包戰(zhàn)略和外包邊界不明確

（1）醫(yī)院越來越依賴外包商。在為醫(yī)院提供服務(wù)的過程中，外包商逐漸承擔(dān)了醫(yī)院信息科工作中的關(guān)鍵環(huán)節(jié)或管理職責(zé)，導(dǎo)致信息科管理能力、技術(shù)能力和創(chuàng)新能力下降，甚至喪失自主控制能力，部分醫(yī)院、臨床科室直接對接HIS公司駐地工程師，滿足系統(tǒng)改造需求；協(xié)調(diào)會議。

(2）IT運(yùn)維服務(wù)外包存在管理盲區(qū)。目前，越來越多的醫(yī)療IT企業(yè)如雨后春筍般涌現(xiàn)，不斷輸出移動支付、大數(shù)據(jù)、云技術(shù)、科研合作等新技術(shù).，提供患者預(yù)約、移動支付、病歷在線查詢、PACS影像在線查詢、云隨診、科研大數(shù)據(jù)分析、單病種數(shù)據(jù)庫合作等新業(yè)務(wù)場景。在這些新技術(shù)和場景中，部分醫(yī)院與湖北IT企業(yè)開展業(yè)務(wù)合作，脫離現(xiàn)有管理體系，外包管理存在盲區(qū)。

2.外包商管理機(jī)制不完善

（1）外包商管理策略并不完善，很多醫(yī)院沒有建立符合自身風(fēng)險管控水平的外包商管理策略，也沒有對外包商進(jìn)行分類分級管理。

（2）“準(zhǔn)入、監(jiān)控、評估”的外包商管理閉環(huán)尚未形成，外包商的進(jìn)入調(diào)查和風(fēng)險評估不夠深入，缺乏深入分析外包服務(wù)的性質(zhì)和外包集中度，從而導(dǎo)致選擇不合適的外包商，會導(dǎo)致外包服務(wù)質(zhì)量下降甚至服務(wù)中斷。

（3）外包服務(wù)過程的過程中監(jiān)控流于形式。特別是對于非現(xiàn)場外包服務(wù)商來說，日常監(jiān)督管理不足，普遍呈現(xiàn)“不干涉”的狀態(tài)”。

3.外包人員管理不到位

（1）外包人員資質(zhì)審核不到位，外包人員準(zhǔn)入標(biāo)準(zhǔn)未建立，外包人員學(xué)歷、技術(shù)能力、工作經(jīng)驗(yàn)參差不齊，導(dǎo)致外包質(zhì)量不高服務(wù)無法保證，很多HIS公司剛招到人員就直接派人到醫(yī)院現(xiàn)場提供現(xiàn)場服務(wù)，醫(yī)院被視為公司人員的培訓(xùn)場所。

（2）外包人員的賬號、密碼、權(quán)限管理混亂，不定期進(jìn)行賬戶清零和權(quán)限審核，外包人員可以訪問敏感信息，存在信息泄露風(fēng)險。

（3）外包人員流失率過高或參會人數(shù)不足。開發(fā)項(xiàng)目一般人員流失率較大。實(shí)際現(xiàn)場人員和業(yè)務(wù)外包方承諾的人員環(huán)節(jié)在資質(zhì)、技術(shù)能力、工作經(jīng)驗(yàn)、數(shù)量等方面存在不一致。

4.信息安全管理薄弱

（1）外包商為了節(jié)省成本，可以降低服務(wù)器、存儲等關(guān)鍵設(shè)備的維護(hù)和維護(hù)成本，存在安全隱患。

（2）外包商內(nèi)部信息安全管控薄弱，外包商可以訪問醫(yī)院采購計(jì)劃、賬戶信息、患者信息、藥品數(shù)據(jù)等敏感數(shù)據(jù)，外包商缺乏對公司人員的信息安全教育。

（3）醫(yī)院信息部對外包商的信息安全管控薄弱。某公司曾將其服務(wù)的多家醫(yī)院客戶的業(yè)務(wù)數(shù)據(jù)庫進(jìn)行備份，并作為測試庫恢復(fù)到公司服務(wù)器，其中包含一個大量真實(shí)數(shù)據(jù)。

醫(yī)院IT運(yùn)維服務(wù)外包風(fēng)險管理策略

1.組織管理

（1）醫(yī)院應(yīng)制定明確的外包管理策略，嚴(yán)格控制外包業(yè)務(wù)范圍。

（2）醫(yī)院應(yīng)建立明確的外包風(fēng)險管理組織架構(gòu)，明確主管部門，建立健全I(xiàn)T運(yùn)維服務(wù)外包管理相關(guān)制度。

（3）加強(qiáng)醫(yī)院信息化規(guī)劃設(shè)計(jì)、系統(tǒng)需求管理、項(xiàng)目進(jìn)度和質(zhì)量控制等核心業(yè)務(wù)和關(guān)鍵節(jié)點(diǎn)的自控，減少外包依賴。

2.外包商管理

（1）制定外包商管理策略，建立“準(zhǔn)入-每日監(jiān)控-評價-退出”的管理閉環(huán)。

（2）認(rèn)真制定外包商準(zhǔn)入標(biāo)準(zhǔn)。通過外包服務(wù)招投標(biāo)、合同等方式控制外包人員隊(duì)伍的資質(zhì)和穩(wěn)定性。明確外包商準(zhǔn)入標(biāo)準(zhǔn)，建立外包商分級管理和退出機(jī)制。重大風(fēng)險和違規(guī)企業(yè)應(yīng)及時終止合作。

（3）加強(qiáng)對外包商的流程監(jiān)控，定期檢查，評估業(yè)務(wù)風(fēng)險合規(guī)性，提高風(fēng)險防范意識。

3.外包人事管理

（1）制定外包人員資格審查標(biāo)準(zhǔn)，加強(qiáng)外包人員資格審查。

(2）加強(qiáng)對外包人員服務(wù)過程的考核評價，建立服務(wù)質(zhì)量評價和監(jiān)測指標(biāo)，充分利用評價結(jié)果通過合同條款達(dá)成協(xié)議，確保醫(yī)院對外包人員的利益。最大程度。

(3）改變基于項(xiàng)目的外包管理模式it運(yùn)維外包，使用人力資源外包模式。

(4）建立知識管理體系。知識的不斷積累和更新是提高運(yùn)維團(tuán)隊(duì)能力的基礎(chǔ)。將個人知識轉(zhuǎn)化為組織知識，積累在知識庫系統(tǒng)中，可以有效避免人員流動帶來的問題，信息孤島和知識流失。

4.數(shù)據(jù)安全管理

(1）嚴(yán)格權(quán)限控制。嚴(yán)格控制外包人員的權(quán)限分配，按照“必要”和“最小”的原則限制外包人員對敏感數(shù)據(jù)的訪問范圍；權(quán)限可更改，可登錄相應(yīng)地出來。

（2）安全的細(xì)化和維護(hù)。對于系統(tǒng)安裝、程序更新等，制定標(biāo)準(zhǔn)規(guī)范和工作流程，形成固定的機(jī)制和模式。

（3）加強(qiáng)媒體管理，對外包商使用筆記本電腦、U盤、移動硬盤復(fù)制數(shù)據(jù)、發(fā)送郵件等進(jìn)行審查和管理。

綜上所述，醫(yī)院信息部門需要時刻保持警惕，不斷識別和判斷IT運(yùn)維外包服務(wù)的潛在風(fēng)險，識別導(dǎo)致風(fēng)險的主要因素和可能產(chǎn)生的后果。同時，對已識別的風(fēng)險進(jìn)行優(yōu)先級排序，通過對風(fēng)險發(fā)生概率和影響程度的綜合評估，確定其優(yōu)先級，制定有針對性的風(fēng)險處置計(jì)劃。

【關(guān)于作者】

郝尚勇現(xiàn)任天津醫(yī)科大學(xué)附屬腫瘤醫(yī)院（天津市腫瘤醫(yī)院）綜合辦公室副主任、高級工程師。2000年6月畢業(yè)于天津大學(xué)管理信息系統(tǒng)專業(yè)，2012年6月獲得天津大學(xué)軟件工程碩士學(xué)位。2000年7月參加工作以來，一直從事規(guī)劃建設(shè)、設(shè)計(jì)、醫(yī)院信息系統(tǒng)的開發(fā)、運(yùn)維服務(wù)和信息化管理。2008年6月至2018年10月任天津醫(yī)科大學(xué)附屬腫瘤醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)中心主任。

中國醫(yī)院協(xié)會信息化專業(yè)委員會委員，中國衛(wèi)生信息學(xué)會電子病歷與醫(yī)院信息化專業(yè)委員會委員，中國醫(yī)療器械學(xué)會數(shù)字化醫(yī)療技術(shù)分會委員，中國研究型醫(yī)院協(xié)會醫(yī)學(xué)與臨床研究大數(shù)據(jù)應(yīng)用專業(yè)委員會委員、天津市衛(wèi)生信息學(xué)會常務(wù)理事、健康與健康建設(shè)專家等多項(xiàng)學(xué)術(shù)兼職天津信息化。