行业动态

近年来，IT运维服务外包已成为医院普遍采用的模式和战略发展方式，越来越多的医院将更多的IT运维服务外包。IT运维服务外包可以使医院信息部门更加专注于医院信息化的核心业务和核心流程，提高IT运维服务的效率和满意度。

根据CHIMA发布的《2018-2019年中国医院信息化调查报告》，如图1所示it运维外包，外包业务排名前三的分别是服务器、终端设备及周边设备的硬件维护，以及医院网站的建设和运营。网络设备维护和日常运维占比分别为38.76%、32.74%、28.65%。信息系统应用开发外包比例为28.18%，排名第四；信息系统日常运维外包率为17.76%，排名第五。上述数据呈逐年上升趋势，如图2所示。

图1

图 2

然而，IT运维服务外包是一把“双刃剑”。在助力医院信息化发展的同时，也可能因外包商选择不当、过度依赖外包而导致医院信息化部门的信息泄露和能力丧失。对医院乃至整个医疗行业产生负面影响的潜在风险。因此，需要做好医院IT运维服务外包的风险管理工作。

医院IT运维服务外包风险管理面临的突出问题

1.外包战略和外包边界不明确

（1）医院越来越依赖外包商。在为医院提供服务的过程中，外包商逐渐承担了医院信息科工作中的关键环节或管理职责，导致信息科管理能力、技术能力和创新能力下降，甚至丧失自主控制能力，部分医院、临床科室直接对接HIS公司驻地工程师，满足系统改造需求；协调会议。

(2）IT运维服务外包存在管理盲区。目前，越来越多的医疗IT企业如雨后春笋般涌现，不断输出移动支付、大数据、云技术、科研合作等新技术.，提供患者预约、移动支付、病历在线查询、PACS影像在线查询、云随诊、科研大数据分析、单病种数据库合作等新业务场景。在这些新技术和场景中，部分医院与湖北IT企业开展业务合作，脱离现有管理体系，外包管理存在盲区。

2.外包商管理机制不完善

（1）外包商管理策略并不完善，很多医院没有建立符合自身风险管控水平的外包商管理策略，也没有对外包商进行分类分级管理。

（2）“准入、监控、评估”的外包商管理闭环尚未形成，外包商的进入调查和风险评估不够深入，缺乏深入分析外包服务的性质和外包集中度，从而导致选择不合适的外包商，会导致外包服务质量下降甚至服务中断。

（3）外包服务过程的过程中监控流于形式。特别是对于非现场外包服务商来说，日常监督管理不足，普遍呈现“不干涉”的状态”。

3.外包人员管理不到位

（1）外包人员资质审核不到位，外包人员准入标准未建立，外包人员学历、技术能力、工作经验参差不齐，导致外包质量不高服务无法保证，很多HIS公司刚招到人员就直接派人到医院现场提供现场服务，医院被视为公司人员的培训场所。

（2）外包人员的账号、密码、权限管理混乱，不定期进行账户清零和权限审核，外包人员可以访问敏感信息，存在信息泄露风险。

（3）外包人员流失率过高或参会人数不足。开发项目一般人员流失率较大。实际现场人员和业务外包方承诺的人员环节在资质、技术能力、工作经验、数量等方面存在不一致。

4.信息安全管理薄弱

（1）外包商为了节省成本，可以降低服务器、存储等关键设备的维护和维护成本，存在安全隐患。

（2）外包商内部信息安全管控薄弱，外包商可以访问医院采购计划、账户信息、患者信息、药品数据等敏感数据，外包商缺乏对公司人员的信息安全教育。

（3）医院信息部对外包商的信息安全管控薄弱。某公司曾将其服务的多家医院客户的业务数据库进行备份，并作为测试库恢复到公司服务器，其中包含一个大量真实数据。

医院IT运维服务外包风险管理策略

1.组织管理

（1）医院应制定明确的外包管理策略，严格控制外包业务范围。

（2）医院应建立明确的外包风险管理组织架构，明确主管部门，建立健全IT运维服务外包管理相关制度。

（3）加强医院信息化规划设计、系统需求管理、项目进度和质量控制等核心业务和关键节点的自控，减少外包依赖。

2.外包商管理

（1）制定外包商管理策略，建立“准入-每日监控-评价-退出”的管理闭环。

（2）认真制定外包商准入标准。通过外包服务招投标、合同等方式控制外包人员队伍的资质和稳定性。明确外包商准入标准，建立外包商分级管理和退出机制。重大风险和违规企业应及时终止合作。

（3）加强对外包商的流程监控，定期检查，评估业务风险合规性，提高风险防范意识。

3.外包人事管理

（1）制定外包人员资格审查标准，加强外包人员资格审查。

(2）加强对外包人员服务过程的考核评价，建立服务质量评价和监测指标，充分利用评价结果通过合同条款达成协议，确保医院对外包人员的利益。最大程度。

(3）改变基于项目的外包管理模式it运维外包，使用人力资源外包模式。

(4）建立知识管理体系。知识的不断积累和更新是提高运维团队能力的基础。将个人知识转化为组织知识，积累在知识库系统中，可以有效避免人员流动带来的问题，信息孤岛和知识流失。

4.数据安全管理

(1）严格权限控制。严格控制外包人员的权限分配，按照“必要”和“最小”的原则限制外包人员对敏感数据的访问范围；权限可更改，可登录相应地出来。

（2）安全的细化和维护。对于系统安装、程序更新等，制定标准规范和工作流程，形成固定的机制和模式。

（3）加强媒体管理，对外包商使用笔记本电脑、U盘、移动硬盘复制数据、发送邮件等进行审查和管理。

综上所述，医院信息部门需要时刻保持警惕，不断识别和判断IT运维外包服务的潜在风险，识别导致风险的主要因素和可能产生的后果。同时，对已识别的风险进行优先级排序，通过对风险发生概率和影响程度的综合评估，确定其优先级，制定有针对性的风险处置计划。

【关于作者】

郝尚勇现任天津医科大学附属肿瘤医院（天津市肿瘤医院）综合办公室副主任、高级工程师。2000年6月毕业于天津大学管理信息系统专业，2012年6月获得天津大学软件工程硕士学位。2000年7月参加工作以来，一直从事规划建设、设计、医院信息系统的开发、运维服务和信息化管理。2008年6月至2018年10月任天津医科大学附属肿瘤医院计算机网络中心主任。

中国医院协会信息化专业委员会委员，中国卫生信息学会电子病历与医院信息化专业委员会委员，中国医疗器械学会数字化医疗技术分会委员，中国研究型医院协会医学与临床研究大数据应用专业委员会委员、天津市卫生信息学会常务理事、健康与健康建设专家等多项学术兼职天津信息化。