醫院在開展信息化建設時，涉及到與第三方單位的合作?！暗谌绞轻t院之外的組織機構，不限于科技公司，比如相對醫院而言，衛生健康委、醫保局、銀行都算是第三方?！标戃娞厣t學中心信息中心主任黃昊在CHIMA 2024演講時指出，在進行風險管理時必須把第三方納入統一管理，進行風險識別和評估，以確保風險可控。

加強外包風險管控

　　當前，外包服務已成為醫院信息化建設中不可或缺的一部分。對此，黃昊認為，軟件外包服務在提供靈活性和成本效益的同時，也可能帶來一系列安全風險，主要源于外包服務商的安全實踐不足、文化差異、法律法規的不同，以及醫院對服務商缺乏足夠的監督和控制。為更好地管理和緩解軟件外包服務帶來的安全風險，黃昊建議采取以下措施：“選擇信譽良好、有強大安全措施的外包服務商；在合同中明確安全要求、保密協議和合規標準；定期對服務商進行安全審計和風險評估；確保與外包服務商之間的通信是安全和加密的；對服務商進行背景調查，包括其員工和分包商；實施強有力的訪問控制和身份驗證措施，以保護數據和系統；建立清晰的溝通渠道和工作流程，以減少誤解和溝通障礙?！?/p>

　　黃昊談到，安全管理中有一個理論叫木桶效應，它是一種強調系統思維和均衡發展的理念，要求我們在分析問題和解決問題時，考慮到所有相關因素，尤其是那些可能成為制約瓶頸的因素。

　　在黃昊看來，外包服務安全風險點主要有遠程服務風險和駐場服務風險，分別體現為開發服務風險、項目管理風險、系統管理風險、維修服務風險、網絡運維風險、行政管理風險、數據安全風險。他進一步指出：“在實踐中，可制定風險管理框架。它的目的是協助組織將風險管理納入重要的活動和職能中，風險管理的有效性取決于其與組織治理及決策制定的整合情況?！?/p>

　　風險管理框架設計很重要的一點是識別利益相關者，在識別風險時，不僅要考慮整個項目，還要將它放在醫院整體信息化和管理框架中，進行系統化設計。黃昊表示：“整體框架由框架、原則和流程三部分構成：框架內包含整合、設計、實施、評估和改進等方面；原則主要是整合，進行全面和結構化系統化設計，同時考慮持續改進；流程主要指風險評估、識別、評價和應對等過程。”

　　在具體實踐中，可根據詳細情況進行分析。比如在評價風險時，可根據組織設計和實施風險管理框架的目的、實施計劃、績效指標和預期表現效果，定期分析風險管理框架的實施效果，并確定風險管理框架是否仍適用于支持組織目標的實現。識別風險時需要認真考慮不確定性，有一些風險無法在評估過程中識別，此時需建立應急預案機制。黃昊強調：“同時，我們要關注風險的相互依賴關系，這是風險管理中的一個重要方面，了解和處理這些關系對于制定有效的風險分析和應對策略至關重要。”

識別風險常用管理工具

　　黃昊介紹，在工作中，識別風險常用的管理工具主要有頭腦風暴、故障模式與效應分析(FMEA)、魚骨圖、故障樹分析、風險評估等。

　　1.頭腦風暴。通常在團隊環境中進行，鼓勵參與者自由發揮，提出盡可能多的想法，而不對這些想法進行立即的評估或批評。關鍵在于創造一個開放和支持性的環境，讓每個人都能自由地貢獻自己的想法。該方法的優點體現為自由流暢、團隊協作、激發創新等方面，缺點為質量不一、可能存在主導者、時間消耗等。

　　2. 故障模式與效應分析(FMEA)。這是一種系統化方法，用于識別產品、過程或服務中潛在的故障模式，并評估這些故障對系統性能的潛在影響，以便采取適當的預防措施，其目的是在故障發生之前識別并消除或減輕可能導致產品或服務失效的因素。它的核心原理體現為前瞻性、團隊合作、系統分解和風險評估。

　　3.魚骨圖。這是一種用于系統地列出和組織導致特定事件或問題出現的所有可能原因的方法，得名于其外觀類似于魚的骨架，是一種有助于團隊識別和解決問題的視覺工具。它的主要原理是系統思考、根本原因分析、團隊合作、可視化，它是一種強大的工具，可以幫助團隊系統地分析和解決問題，但它依賴于團隊成員的知識、經驗和創造力。正確使用魚骨圖可以提高問題解決的效率和效果。

　　4.故障樹分析。這是一種自上而下的圖形化演繹分析方法，用于識別和分析導致一個不希望發生的事件(頂事件)的所有可能原因。它的核心原理主要是系統性、層次性、邏輯性、定量與定性分析。這是一種強大的工具，可以幫助工程師和決策者理解復雜系統的故障模式和潛在風險，從而采取有效的措施來提高系統的安全性和可靠性。

　　5.風險評估。這是識別、分析和評價風險的過程，以確定如何管理或降低這些風險。進行有效的風險評估對于保護組織免受潛在威脅和損害至關重要。它的一般步驟是識別資產和資源、識別威脅和脆弱性、分析風險。

　　黃昊以醫療行業實施數據分級分類為例，介紹了如何加強數據管理。在醫療行業，實施數據分級分類通常涉及以下步驟：確定數據管理范圍、建立組織保障、制定分類分級標準、數據資產發現、實施安全措施、監控和審計、持續改進等?！斑@些步驟有助于確保醫療數據在收集、存儲、處理和共享過程中的安全性和合規性，從而保護患者隱私和醫院數據安全?！秉S昊強調。

　　在醫療信息化工作中，加強供應鏈安全，防范被攻擊，是網絡安全領域的一項重要任務。對此，黃昊指出，可采取提高軟件安全性、加強供應鏈管理和監控、以及提升安全意識和應急響應能力等綜合措施。在他看來，提升醫療軟件質量可采取以下措施：制定適合醫療軟件行業的強制性標準；建立醫療軟件的質量與安全性評估標準；建立全生命周期的質量監管體系；建立一整套的軟件質量管理規章制度；建立醫療軟件的召回制度和不良事件通報制度等。

　　在加強醫療信息化風險管控方面，黃昊給出了如下建議：“管事情更要管人；定期的風險評估很必要；在工作中，要體系化、系統化推進風險管控；必要的工具將提高管控能力；信息中心需要發揮好管理職能，服務可以外包，風險無法轉移；將外包服務與費用支付掛鉤，提升第三方主動性?！?/p>