近年來，IT運維服務(wù)外包已成為診所普遍采用的模式和戰(zhàn)略發(fā)展方式，越來越多的診所將更多的IT運維服務(wù)外包。 IT運維服務(wù)外包可以使診所信息部門將更多的精力集中在診所信息化的核心業(yè)務(wù)和核心流程上，提高IT運維服務(wù)的效率和滿意度。

根據(jù)CHIMA發(fā)布的《2018-2019年中國診所信息化調(diào)查報告》，如圖1所示，排名前三的外包業(yè)務(wù)分別是服務(wù)器、終端設(shè)備及周邊設(shè)備的硬件維修、診所網(wǎng)站的建設(shè)與運營。 網(wǎng)絡(luò)設(shè)備維護和日常運維占比分別為38.76%、32.74%和28.65%。 信息系統(tǒng)應(yīng)用開發(fā)外包比例為28.18%，排名第四； 信息系統(tǒng)日常運維外包比例為17.76%，排名第五。 上述數(shù)據(jù)均呈逐年上升趨勢，如圖2所示。

圖1

圖 2

然而，IT運維服務(wù)外包是一把“雙刃劍”。 在推動診所信息化發(fā)展的同時，也可能因外包商選擇不當、過度依賴外包而造成信息泄露，醫(yī)院信息部門能力喪失。 潛在的風(fēng)險，對診所乃至整個醫(yī)療行業(yè)的負面影響。 因此，我們需要做好診所IT運維服務(wù)外包的風(fēng)險管理工作。

診所IT運維服務(wù)外包風(fēng)險管理面臨的突出問題

1. 外包策略和外包邊界不清晰

(1)診所對外包商的依賴度不斷降低。 在為診所提供服務(wù)的過程中，外包商逐漸承擔了診所信息部門工作中的關(guān)鍵環(huán)節(jié)或管理職責(zé)，帶動了信息部門管理能力、技術(shù)能力和創(chuàng)新能力的增長，甚至喪失自主控制能力。 部分診所臨床科室直接與HIS駐場工程師溝通，滿足系統(tǒng)變更需求； 在一些診所，外包公司的人員甚至代替診所信息部直接參加診所工作會議或協(xié)調(diào)會議。

(2)IT運維服務(wù)外包存在管理盲區(qū)。 目前，越來越多的醫(yī)療IT企業(yè)如雪后生菜般涌現(xiàn)，不斷輸出聯(lián)通支付、大數(shù)據(jù)、云技術(shù)、科研合作等新技術(shù)，提供患者預(yù)約、移動支付、病歷在線查詢、 PACS圖像在線查詢、云計算服務(wù)。 復(fù)診、科研大數(shù)據(jù)分析、單病種數(shù)據(jù)庫合作等新業(yè)務(wù)場景。 在這種新技術(shù)、新場景下，部分診所與廣東IT企業(yè)的業(yè)務(wù)合作脫離了現(xiàn)有的管理體系，外包管理存在盲區(qū)。

2、外包商管理機制不完善

(1)外包商管理策略不完善。 很多診所沒有完善符合自身風(fēng)險管控水平的外包管理策略，沒有對外包商進行分類分級管理。

（2）沒有“準入、監(jiān)控、評估”的外包商管理閉環(huán)。 對外包商的調(diào)查和風(fēng)險評估不夠深入，對外包服務(wù)的性質(zhì)和外包集中度缺乏深入分析，導(dǎo)致選擇不合適的外包商，導(dǎo)致外包服務(wù)質(zhì)量提高，甚至服務(wù)中斷。

（三）外包服務(wù)過程的過程中監(jiān)控只是一種手段。 尤其是對非居民外包服務(wù)商缺乏日常監(jiān)督管理，普遍呈現(xiàn)“放手掌柜”狀態(tài)。

3、外包人員管理不到位

（一）外包人員資格審查不到位。 外包人員準入標準不完善，外包人員學(xué)歷、技術(shù)能力、工作經(jīng)歷參差不齊，外包服務(wù)質(zhì)量難以保證。 很多HIS企業(yè)將急聘人員直接派往診所進行現(xiàn)場服務(wù)，并將診所作為公司人員的培訓(xùn)場所。

（2）外包人員賬號、密碼、權(quán)限管理混亂。 不定期進行賬戶清算和權(quán)限審核，外包人員可能接觸到敏感信息，存在信息泄露風(fēng)險。

（三）外包人員流失率低或到場人數(shù)不足。 開發(fā)項目的人員流動率普遍較高。 實際現(xiàn)場人員與業(yè)務(wù)環(huán)節(jié)外包方承諾的人員在資質(zhì)、技術(shù)能力、工作經(jīng)驗、數(shù)量等方面不一致。

4、信息安全管理薄弱

（1）外包商為了節(jié)約成本，能省就省，降低服務(wù)器、存儲等關(guān)鍵設(shè)備的維修保養(yǎng)成本，存在安全隱患。

（二）外包方內(nèi)部信息安全控制薄弱。 只有外包人員才能訪問敏感數(shù)據(jù)，如診所采購計劃、賬戶信息、患者信息和藥物數(shù)據(jù)。 外包商缺乏對公司人員的信息安全教育。

(3)門診信息部門對外包商的信息安全管控薄弱。 以往，某公司將其服務(wù)的多個診所客戶的業(yè)務(wù)數(shù)據(jù)庫進行備份，恢復(fù)到公司服務(wù)器上作為測試庫使用，其中包含大量真實數(shù)據(jù)。

診所IT運維服務(wù)外包的風(fēng)險管理策略

一、組織管理

（一）診所應(yīng)制定明確的外包管理策略，嚴格控制外包業(yè)務(wù)范圍。

（二）診所應(yīng)完善清晰的外包風(fēng)險管理組織架構(gòu)，明確主管部門，建立健全IT運維服務(wù)外包管理相關(guān)制度。

（三）加強診所信息化規(guī)劃設(shè)計、系統(tǒng)需求管理、項目進度和質(zhì)量控制等核心業(yè)務(wù)和關(guān)鍵節(jié)點的自主可控，加大對外包依賴。

2.外包商管理

(1)構(gòu)建外包商管理策略。 構(gòu)建“準入-日檢-評價-退出”的管理閉環(huán)。

（二）審慎制定外包商準入標準。 通過外包服務(wù)招標和協(xié)議，控制外包人員隊伍的資質(zhì)和穩(wěn)定性。 明確外包商準入標準，建立外包商名單制分級管理和退出機制，對存在重大風(fēng)險和違法行為的企業(yè)及時暫停合作。

（三）加強外包商過程監(jiān)控，定期檢查，評估業(yè)務(wù)風(fēng)險合規(guī)性，提高風(fēng)險防范意識。

3、外包人員管理

（一）建立外包人員任職資格審查標準，加強外包人員任職資格審查。

(2)加強對外包人員服務(wù)過程的評價和評價，建立服務(wù)質(zhì)量評價和監(jiān)控指標，充分利用評價結(jié)果就協(xié)議條款達成一致，最大限度地保證診所的利益程度。

(3)改變以項目為基礎(chǔ)的外包管理模式，轉(zhuǎn)為人力資源外包模式。

(4)構(gòu)建知識管理體系。 知識的不斷積累和更新是提升運維團隊能力的基礎(chǔ)。 將個人知識轉(zhuǎn)化為組織知識并積累在知識庫系統(tǒng)中pc運維外包，可以有效防止人員流動造成的信息孤島和知識流失。

4、數(shù)據(jù)安全管理

（一）嚴格權(quán)限控制。 嚴格控制外包人員的權(quán)限分配，按照“必要”和“最少”的原則，限制外包人員接觸敏感數(shù)據(jù)的范圍； 根據(jù)外包人員的調(diào)整，及時更改和取消賬戶權(quán)限。

(2)細化維護保障。 對于安裝系統(tǒng)、程序更新等，制定標準規(guī)范和工作流程pc運維外包，形成固定機制和模式。

（三）加強媒體管理。 外包人員利用電腦筆記本、U盤、移動硬盤復(fù)制資料、發(fā)送短信等行為，必須進行審查和管理。

綜上所述，診所信息部門需要時刻保持警惕，不斷識別和判斷IT運維外包服務(wù)的潛在風(fēng)險，識別風(fēng)險產(chǎn)生的主要原因和可能產(chǎn)生的后果。 同時，對識別出的風(fēng)險進行優(yōu)先級排序，通過綜合評估風(fēng)險發(fā)生的概率和影響，確定優(yōu)先級，有針對性地制定風(fēng)險處置方案。