近年來，IT運維服務外包已成為醫院普遍采用的模式和戰略發展方式，越來越多的醫院將更多的IT運維服務外包。IT運維服務外包可以使醫院信息部門更加專注于醫院信息化的核心業務和核心流程，提高IT運維服務的效率和滿意度。

根據CHIMA發布的《2018-2019年中國醫院信息化調查報告》，如圖1所示it運維外包，外包業務排名前三的分別是服務器、終端設備及周邊設備的硬件維護，以及醫院網站的建設和運營。網絡設備維護和日常運維占比分別為38.76%、32.74%、28.65%。信息系統應用開發外包比例為28.18%，排名第四；信息系統日常運維外包率為17.76%，排名第五。上述數據呈逐年上升趨勢，如圖2所示。

圖1

圖 2

然而，IT運維服務外包是一把“雙刃劍”。在助力醫院信息化發展的同時，也可能因外包商選擇不當、過度依賴外包而導致醫院信息化部門的信息泄露和能力喪失。對醫院乃至整個醫療行業產生負面影響的潛在風險。因此，需要做好醫院IT運維服務外包的風險管理工作。

醫院IT運維服務外包風險管理面臨的突出問題

1.外包戰略和外包邊界不明確

（1）醫院越來越依賴外包商。在為醫院提供服務的過程中，外包商逐漸承擔了醫院信息科工作中的關鍵環節或管理職責，導致信息科管理能力、技術能力和創新能力下降，甚至喪失自主控制能力，部分醫院、臨床科室直接對接HIS公司駐地工程師，滿足系統改造需求；協調會議。

(2）IT運維服務外包存在管理盲區。目前，越來越多的醫療IT企業如雨后春筍般涌現，不斷輸出移動支付、大數據、云技術、科研合作等新技術.，提供患者預約、移動支付、病歷在線查詢、PACS影像在線查詢、云隨診、科研大數據分析、單病種數據庫合作等新業務場景。在這些新技術和場景中，部分醫院與湖北IT企業開展業務合作，脫離現有管理體系，外包管理存在盲區。

2.外包商管理機制不完善

（1）外包商管理策略并不完善，很多醫院沒有建立符合自身風險管控水平的外包商管理策略，也沒有對外包商進行分類分級管理。

（2）“準入、監控、評估”的外包商管理閉環尚未形成，外包商的進入調查和風險評估不夠深入，缺乏深入分析外包服務的性質和外包集中度，從而導致選擇不合適的外包商，會導致外包服務質量下降甚至服務中斷。

（3）外包服務過程的過程中監控流于形式。特別是對于非現場外包服務商來說，日常監督管理不足，普遍呈現“不干涉”的狀態”。

3.外包人員管理不到位

（1）外包人員資質審核不到位，外包人員準入標準未建立，外包人員學歷、技術能力、工作經驗參差不齊，導致外包質量不高服務無法保證，很多HIS公司剛招到人員就直接派人到醫院現場提供現場服務，醫院被視為公司人員的培訓場所。

（2）外包人員的賬號、密碼、權限管理混亂，不定期進行賬戶清零和權限審核，外包人員可以訪問敏感信息，存在信息泄露風險。

（3）外包人員流失率過高或參會人數不足。開發項目一般人員流失率較大。實際現場人員和業務外包方承諾的人員環節在資質、技術能力、工作經驗、數量等方面存在不一致。

4.信息安全管理薄弱

（1）外包商為了節省成本，可以降低服務器、存儲等關鍵設備的維護和維護成本，存在安全隱患。

（2）外包商內部信息安全管控薄弱，外包商可以訪問醫院采購計劃、賬戶信息、患者信息、藥品數據等敏感數據，外包商缺乏對公司人員的信息安全教育。

（3）醫院信息部對外包商的信息安全管控薄弱。某公司曾將其服務的多家醫院客戶的業務數據庫進行備份，并作為測試庫恢復到公司服務器，其中包含一個大量真實數據。

醫院IT運維服務外包風險管理策略

1.組織管理

（1）醫院應制定明確的外包管理策略，嚴格控制外包業務范圍。

（2）醫院應建立明確的外包風險管理組織架構，明確主管部門，建立健全IT運維服務外包管理相關制度。

（3）加強醫院信息化規劃設計、系統需求管理、項目進度和質量控制等核心業務和關鍵節點的自控，減少外包依賴。

2.外包商管理

（1）制定外包商管理策略，建立“準入-每日監控-評價-退出”的管理閉環。

（2）認真制定外包商準入標準。通過外包服務招投標、合同等方式控制外包人員隊伍的資質和穩定性。明確外包商準入標準，建立外包商分級管理和退出機制。重大風險和違規企業應及時終止合作。

（3）加強對外包商的流程監控，定期檢查，評估業務風險合規性，提高風險防范意識。

3.外包人事管理

（1）制定外包人員資格審查標準，加強外包人員資格審查。

(2）加強對外包人員服務過程的考核評價，建立服務質量評價和監測指標，充分利用評價結果通過合同條款達成協議，確保醫院對外包人員的利益。最大程度。

(3）改變基于項目的外包管理模式it運維外包，使用人力資源外包模式。

(4）建立知識管理體系。知識的不斷積累和更新是提高運維團隊能力的基礎。將個人知識轉化為組織知識，積累在知識庫系統中，可以有效避免人員流動帶來的問題，信息孤島和知識流失。

4.數據安全管理

(1）嚴格權限控制。嚴格控制外包人員的權限分配，按照“必要”和“最小”的原則限制外包人員對敏感數據的訪問范圍；權限可更改，可登錄相應地出來。

（2）安全的細化和維護。對于系統安裝、程序更新等，制定標準規范和工作流程，形成固定的機制和模式。

（3）加強媒體管理，對外包商使用筆記本電腦、U盤、移動硬盤復制數據、發送郵件等進行審查和管理。

綜上所述，醫院信息部門需要時刻保持警惕，不斷識別和判斷IT運維外包服務的潛在風險，識別導致風險的主要因素和可能產生的后果。同時，對已識別的風險進行優先級排序，通過對風險發生概率和影響程度的綜合評估，確定其優先級，制定有針對性的風險處置計劃。

【關于作者】

郝尚勇現任天津醫科大學附屬腫瘤醫院（天津市腫瘤醫院）綜合辦公室副主任、高級工程師。2000年6月畢業于天津大學管理信息系統專業，2012年6月獲得天津大學軟件工程碩士學位。2000年7月參加工作以來，一直從事規劃建設、設計、醫院信息系統的開發、運維服務和信息化管理。2008年6月至2018年10月任天津醫科大學附屬腫瘤醫院計算機網絡中心主任。

中國醫院協會信息化專業委員會委員，中國衛生信息學會電子病歷與醫院信息化專業委員會委員，中國醫療器械學會數字化醫療技術分會委員，中國研究型醫院協會醫學與臨床研究大數據應用專業委員會委員、天津市衛生信息學會常務理事、健康與健康建設專家等多項學術兼職天津信息化。