近年來(lái)，IT運(yùn)維服務(wù)外包已成為醫(yī)院普遍采用的模式和戰(zhàn)略發(fā)展方式，越來(lái)越多的醫(yī)院將更多的IT運(yùn)維服務(wù)外包。IT運(yùn)維服務(wù)外包可以使醫(yī)院信息部門(mén)更加專(zhuān)注于醫(yī)院信息化的核心業(yè)務(wù)和核心流程，提高IT運(yùn)維服務(wù)的效率和滿(mǎn)意度。

根據(jù)CHIMA發(fā)布的《2018-2019年中國(guó)醫(yī)院信息化調(diào)查報(bào)告》，如圖1所示it運(yùn)維外包，外包業(yè)務(wù)排名前三的分別是服務(wù)器、終端設(shè)備及周邊設(shè)備的硬件維護(hù)，以及醫(yī)院網(wǎng)站的建設(shè)和運(yùn)營(yíng)。網(wǎng)絡(luò)設(shè)備維護(hù)和日常運(yùn)維占比分別為38.76%、32.74%、28.65%。信息系統(tǒng)應(yīng)用開(kāi)發(fā)外包比例為28.18%，排名第四；信息系統(tǒng)日常運(yùn)維外包率為17.76%，排名第五。上述數(shù)據(jù)呈逐年上升趨勢(shì)，如圖2所示。

圖1

圖 2

然而，IT運(yùn)維服務(wù)外包是一把“雙刃劍”。在助力醫(yī)院信息化發(fā)展的同時(shí)，也可能因外包商選擇不當(dāng)、過(guò)度依賴(lài)外包而導(dǎo)致醫(yī)院信息化部門(mén)的信息泄露和能力喪失。對(duì)醫(yī)院乃至整個(gè)醫(yī)療行業(yè)產(chǎn)生負(fù)面影響的潛在風(fēng)險(xiǎn)。因此，需要做好醫(yī)院IT運(yùn)維服務(wù)外包的風(fēng)險(xiǎn)管理工作。

醫(yī)院IT運(yùn)維服務(wù)外包風(fēng)險(xiǎn)管理面臨的突出問(wèn)題

1.外包戰(zhàn)略和外包邊界不明確

（1）醫(yī)院越來(lái)越依賴(lài)外包商。在為醫(yī)院提供服務(wù)的過(guò)程中，外包商逐漸承擔(dān)了醫(yī)院信息科工作中的關(guān)鍵環(huán)節(jié)或管理職責(zé)，導(dǎo)致信息科管理能力、技術(shù)能力和創(chuàng)新能力下降，甚至喪失自主控制能力，部分醫(yī)院、臨床科室直接對(duì)接HIS公司駐地工程師，滿(mǎn)足系統(tǒng)改造需求；協(xié)調(diào)會(huì)議。

(2）IT運(yùn)維服務(wù)外包存在管理盲區(qū)。目前，越來(lái)越多的醫(yī)療IT企業(yè)如雨后春筍般涌現(xiàn)，不斷輸出移動(dòng)支付、大數(shù)據(jù)、云技術(shù)、科研合作等新技術(shù).，提供患者預(yù)約、移動(dòng)支付、病歷在線(xiàn)查詢(xún)、PACS影像在線(xiàn)查詢(xún)、云隨診、科研大數(shù)據(jù)分析、單病種數(shù)據(jù)庫(kù)合作等新業(yè)務(wù)場(chǎng)景。在這些新技術(shù)和場(chǎng)景中，部分醫(yī)院與湖北IT企業(yè)開(kāi)展業(yè)務(wù)合作，脫離現(xiàn)有管理體系，外包管理存在盲區(qū)。

2.外包商管理機(jī)制不完善

（1）外包商管理策略并不完善，很多醫(yī)院沒(méi)有建立符合自身風(fēng)險(xiǎn)管控水平的外包商管理策略，也沒(méi)有對(duì)外包商進(jìn)行分類(lèi)分級(jí)管理。

（2）“準(zhǔn)入、監(jiān)控、評(píng)估”的外包商管理閉環(huán)尚未形成，外包商的進(jìn)入調(diào)查和風(fēng)險(xiǎn)評(píng)估不夠深入，缺乏深入分析外包服務(wù)的性質(zhì)和外包集中度，從而導(dǎo)致選擇不合適的外包商，會(huì)導(dǎo)致外包服務(wù)質(zhì)量下降甚至服務(wù)中斷。

（3）外包服務(wù)過(guò)程的過(guò)程中監(jiān)控流于形式。特別是對(duì)于非現(xiàn)場(chǎng)外包服務(wù)商來(lái)說(shuō)，日常監(jiān)督管理不足，普遍呈現(xiàn)“不干涉”的狀態(tài)”。

3.外包人員管理不到位

（1）外包人員資質(zhì)審核不到位，外包人員準(zhǔn)入標(biāo)準(zhǔn)未建立，外包人員學(xué)歷、技術(shù)能力、工作經(jīng)驗(yàn)參差不齊，導(dǎo)致外包質(zhì)量不高服務(wù)無(wú)法保證，很多HIS公司剛招到人員就直接派人到醫(yī)院現(xiàn)場(chǎng)提供現(xiàn)場(chǎng)服務(wù)，醫(yī)院被視為公司人員的培訓(xùn)場(chǎng)所。

（2）外包人員的賬號(hào)、密碼、權(quán)限管理混亂，不定期進(jìn)行賬戶(hù)清零和權(quán)限審核，外包人員可以訪問(wèn)敏感信息，存在信息泄露風(fēng)險(xiǎn)。

（3）外包人員流失率過(guò)高或參會(huì)人數(shù)不足。開(kāi)發(fā)項(xiàng)目一般人員流失率較大。實(shí)際現(xiàn)場(chǎng)人員和業(yè)務(wù)外包方承諾的人員環(huán)節(jié)在資質(zhì)、技術(shù)能力、工作經(jīng)驗(yàn)、數(shù)量等方面存在不一致。

4.信息安全管理薄弱

（1）外包商為了節(jié)省成本，可以降低服務(wù)器、存儲(chǔ)等關(guān)鍵設(shè)備的維護(hù)和維護(hù)成本，存在安全隱患。

（2）外包商內(nèi)部信息安全管控薄弱，外包商可以訪問(wèn)醫(yī)院采購(gòu)計(jì)劃、賬戶(hù)信息、患者信息、藥品數(shù)據(jù)等敏感數(shù)據(jù)，外包商缺乏對(duì)公司人員的信息安全教育。

（3）醫(yī)院信息部對(duì)外包商的信息安全管控薄弱。某公司曾將其服務(wù)的多家醫(yī)院客戶(hù)的業(yè)務(wù)數(shù)據(jù)庫(kù)進(jìn)行備份，并作為測(cè)試庫(kù)恢復(fù)到公司服務(wù)器，其中包含一個(gè)大量真實(shí)數(shù)據(jù)。

醫(yī)院IT運(yùn)維服務(wù)外包風(fēng)險(xiǎn)管理策略

1.組織管理

（1）醫(yī)院應(yīng)制定明確的外包管理策略，嚴(yán)格控制外包業(yè)務(wù)范圍。

（2）醫(yī)院應(yīng)建立明確的外包風(fēng)險(xiǎn)管理組織架構(gòu)，明確主管部門(mén)，建立健全I(xiàn)T運(yùn)維服務(wù)外包管理相關(guān)制度。

（3）加強(qiáng)醫(yī)院信息化規(guī)劃設(shè)計(jì)、系統(tǒng)需求管理、項(xiàng)目進(jìn)度和質(zhì)量控制等核心業(yè)務(wù)和關(guān)鍵節(jié)點(diǎn)的自控，減少外包依賴(lài)。

2.外包商管理

（1）制定外包商管理策略，建立“準(zhǔn)入-每日監(jiān)控-評(píng)價(jià)-退出”的管理閉環(huán)。

（2）認(rèn)真制定外包商準(zhǔn)入標(biāo)準(zhǔn)。通過(guò)外包服務(wù)招投標(biāo)、合同等方式控制外包人員隊(duì)伍的資質(zhì)和穩(wěn)定性。明確外包商準(zhǔn)入標(biāo)準(zhǔn)，建立外包商分級(jí)管理和退出機(jī)制。重大風(fēng)險(xiǎn)和違規(guī)企業(yè)應(yīng)及時(shí)終止合作。

（3）加強(qiáng)對(duì)外包商的流程監(jiān)控，定期檢查，評(píng)估業(yè)務(wù)風(fēng)險(xiǎn)合規(guī)性，提高風(fēng)險(xiǎn)防范意識(shí)。

3.外包人事管理

（1）制定外包人員資格審查標(biāo)準(zhǔn)，加強(qiáng)外包人員資格審查。

(2）加強(qiáng)對(duì)外包人員服務(wù)過(guò)程的考核評(píng)價(jià)，建立服務(wù)質(zhì)量評(píng)價(jià)和監(jiān)測(cè)指標(biāo)，充分利用評(píng)價(jià)結(jié)果通過(guò)合同條款達(dá)成協(xié)議，確保醫(yī)院對(duì)外包人員的利益。最大程度。

(3）改變基于項(xiàng)目的外包管理模式it運(yùn)維外包，使用人力資源外包模式。

(4）建立知識(shí)管理體系。知識(shí)的不斷積累和更新是提高運(yùn)維團(tuán)隊(duì)能力的基礎(chǔ)。將個(gè)人知識(shí)轉(zhuǎn)化為組織知識(shí)，積累在知識(shí)庫(kù)系統(tǒng)中，可以有效避免人員流動(dòng)帶來(lái)的問(wèn)題，信息孤島和知識(shí)流失。

4.數(shù)據(jù)安全管理

(1）嚴(yán)格權(quán)限控制。嚴(yán)格控制外包人員的權(quán)限分配，按照“必要”和“最小”的原則限制外包人員對(duì)敏感數(shù)據(jù)的訪問(wèn)范圍；權(quán)限可更改，可登錄相應(yīng)地出來(lái)。

（2）安全的細(xì)化和維護(hù)。對(duì)于系統(tǒng)安裝、程序更新等，制定標(biāo)準(zhǔn)規(guī)范和工作流程，形成固定的機(jī)制和模式。

（3）加強(qiáng)媒體管理，對(duì)外包商使用筆記本電腦、U盤(pán)、移動(dòng)硬盤(pán)復(fù)制數(shù)據(jù)、發(fā)送郵件等進(jìn)行審查和管理。

綜上所述，醫(yī)院信息部門(mén)需要時(shí)刻保持警惕，不斷識(shí)別和判斷IT運(yùn)維外包服務(wù)的潛在風(fēng)險(xiǎn)，識(shí)別導(dǎo)致風(fēng)險(xiǎn)的主要因素和可能產(chǎn)生的后果。同時(shí)，對(duì)已識(shí)別的風(fēng)險(xiǎn)進(jìn)行優(yōu)先級(jí)排序，通過(guò)對(duì)風(fēng)險(xiǎn)發(fā)生概率和影響程度的綜合評(píng)估，確定其優(yōu)先級(jí)，制定有針對(duì)性的風(fēng)險(xiǎn)處置計(jì)劃。

【關(guān)于作者】

郝尚勇現(xiàn)任天津醫(yī)科大學(xué)附屬腫瘤醫(yī)院（天津市腫瘤醫(yī)院）綜合辦公室副主任、高級(jí)工程師。2000年6月畢業(yè)于天津大學(xué)管理信息系統(tǒng)專(zhuān)業(yè)，2012年6月獲得天津大學(xué)軟件工程碩士學(xué)位。2000年7月參加工作以來(lái)，一直從事規(guī)劃建設(shè)、設(shè)計(jì)、醫(yī)院信息系統(tǒng)的開(kāi)發(fā)、運(yùn)維服務(wù)和信息化管理。2008年6月至2018年10月任天津醫(yī)科大學(xué)附屬腫瘤醫(yī)院計(jì)算機(jī)網(wǎng)絡(luò)中心主任。

中國(guó)醫(yī)院協(xié)會(huì)信息化專(zhuān)業(yè)委員會(huì)委員，中國(guó)衛(wèi)生信息學(xué)會(huì)電子病歷與醫(yī)院信息化專(zhuān)業(yè)委員會(huì)委員，中國(guó)醫(yī)療器械學(xué)會(huì)數(shù)字化醫(yī)療技術(shù)分會(huì)委員，中國(guó)研究型醫(yī)院協(xié)會(huì)醫(yī)學(xué)與臨床研究大數(shù)據(jù)應(yīng)用專(zhuān)業(yè)委員會(huì)委員、天津市衛(wèi)生信息學(xué)會(huì)常務(wù)理事、健康與健康建設(shè)專(zhuān)家等多項(xiàng)學(xué)術(shù)兼職天津信息化。