近年來，IT運維服務外包已經成為醫院普遍采用的模式和戰略發展手段，越來越多的醫院將更多的IT運維服務進行外包。IT運維服務外包能使醫院信息部門將更多的精力專注于醫院信息化的核心業務和核心流程，提高IT運維服務的效率和滿意度。

根據CHIMA發布的《2018-2019年度中國醫院信息化狀況調查報告》，如圖1所示，排在前三位的外包業務是服務器、終端設備、外周設備的硬件維修，醫院網站的建設與運行維護和網絡設備日常運行維護，比例分別為38.76%、32.74%、28.65%。信息系統應用開發的外包比例為28.18%，排名第四；信息系統日常運行與維護的外包比例為17.76%，排名第五。以上數據均呈現逐年上升的趨勢，如圖2所示。

圖1

圖2

但是，IT運維服務外包是一把“雙刃劍”，在助力醫院信息化建設發展的同時，也可能由于外包商選擇不當、過度依賴外包等原因而引發信息泄露、醫院信息部門能力喪失等潛在風險，對醫院甚至整個醫療行業帶來負面影響。因此，我們需要做好醫院IT運維服務外包的風險管理。

1.外包戰略和外包邊界不清晰

（1）醫院對外包商依賴度不斷增加。在為醫院提供服務的過程中，外包商逐漸承擔了醫院信息部門工作中的關鍵環節或管理職責，造成信息部門管理能力、技術能力和創新能力的下降，甚至自主掌控能力的喪失。有的醫院，臨床科室直接與HIS公司的駐場工程師對接系統修改需求；有的醫院，外包公司的人員甚至代替醫院信息部門直接參加醫院工作會或協調會。

（2）IT運維服務外包存在管理盲區。目前，越來越多的醫療IT公司如雨后春筍涌現，不斷輸出移動支付、大數據、云技術、科研合作等新技術，提供患者預約、移動支付、在線查詢病歷、在線查詢PACS影像、云隨訪、科研大數據分析、單病種數據庫合作等新的業務場景。在這些新技術與新場景中，有的醫院與IT服務公司的業務合作脫離了現有的管理體系，存在外包管理盲區。

2.外包商管理機制不健全

（1）外包商管理策略不完善。很多醫院未建立符合自身風險管控水平的外包商管理策略，未對外包商進行分類、分級管理。

（2）未形成“準入、監控、評價”的外包商管理閉環。對外包商的進入調查和風險評估不夠深入，缺少對外包服務性質、外包集中度的深入分析，導致選擇了不合適的外包商，引發外包服務質量下降甚至服務中斷。

（3）對外包服務過程的事中監控流于形式。特別是對非駐場外包服務商缺少日常監督、管理，普遍呈現“甩手掌柜”的狀態。

3.外包人員管理不到位

（1）外包人員資質審查不到位。未建立外包人員準入標準，外包人員的學歷背景、技術能力、工作經驗參差不齊，導致外包服務質量無法保證。很多HIS公司把剛剛招聘的人員直接派到醫院現場提供駐場服務，把醫院當成了公司人員培訓的現場。

（2）外包人員賬號、口令及權限管理混亂。未定期進行賬號清理、權限審計，外包人員可以接觸敏感信息，存在信息泄露的風險隱患。

（3）外包人員變動率過高或到場人數不足。開發類項目普遍存在人員變動率大的情況。實際駐場人員與外包商在商務環節承諾的人員，在資質、技術能力、工作經驗、數量等方面均不一致。

4.信息安全管理薄弱

（1）外包商為節約成本能省則省，壓縮服務器、存儲等關鍵設備的檢修和維護成本，存在安全隱患。

（2）外包商內部信息安全管控薄弱。外包人員能夠接觸醫院的采購規劃、賬號信息、患者信息、藥品數據等敏感數據，外包商對公司人員缺乏信息安全教育。

（3）醫院信息部門對外包商的信息安全管控薄弱。曾經有某公司將所服務的多家醫院客戶的業務數據庫進行備份，恢復至公司服務器用作測試庫使用，包含大量真實數據。

1.組織管理

（1）醫院應制定清晰的外包管理策略，嚴格控制外包業務范圍。

（2）醫院應建立清晰的外包風險管理組織架構，明確主管部門，建立健全IT運維服務外包管理相關制度。

（3）加強醫院信息化規劃設計、系統需求管理、項目進度與質量管控等核心業務、關鍵節點的自我掌控，降低外包依賴度。

2.外包商管理

（1）建立外包商管理策略。建立“準入—日常監測—評價—退出”的管理閉環。

（2）審慎制定外包商準入標準。通過外包服務招標和合同，管控外包人員團隊的資質和穩定性。明確外包商準入標準，建立外包商名單制分級管理與退出機制，對出現重大風險和違規行為的企業，及時終止合作。

（3）加強對外包商的過程監控，定期開展檢查，評估業務風險合規情況，提高風險防范意識。

3.外包人員管理

（1）建立外包人員資質審查標準，加強對外包人員的資質審查。

（2）加強外包人員服務過程的考核評價，建立服務質量評價監控指標，并充分運用評價結果，通過合同條款進行約定，最大程度地保證醫院利益。

（3）轉變項目式外包管理模式，改用人力資源外包模式。

（4）建立知識管理體系。知識的不斷積累和更新，是運維團隊能力提升的基礎，將個人知識轉化為組織知識，積累在知識庫系統中，可以有效避免由于人員流動造成的信息孤島和知識流失。

4.數據安全管理

（1）嚴格權限管控。嚴格控制外包人員的權限分配情況，按照“是否必須”和“是否最小”原則，限制外包人員對敏感數據的接觸范圍；及時根據外包人員調整情況，對賬戶權限進行相應的變更、注銷操作。

（2）細化維護安全。為安裝系統、程序更新等工作，制定標準規范和工作流程，形成固定的機制和模式。

（3）加強介質管理。對外包人員利用筆記本電腦、U盤、移動硬盤拷貝數據、發送郵件等行為，都要進行審查和管理。

綜上所述，醫院信息部門需要時刻保持警惕，不斷識別并確定IT運維外包服務的潛在風險，識別引起風險的主要因素以及可能引發的后果。同時，對已識別的風險進行優先級排序，通過對風險發生概率和影響程度的綜合評估，來確定其優先級，有針對性地建立風險處置計劃。

郝尚永，現任天津醫科大學腫瘤醫院（天津市腫瘤醫院）總務處副處長、高級工程師。2000年6月畢業于天津大學管理信息系統專業，2012年6月取得天津大學軟件工程碩士學位。自2000年7月參加工作，一直從事醫院信息系統規劃構建、設計開發、運維服務、信息管理等工作，2008年6月至2018年10月任天津醫科大學腫瘤醫院計算機網絡中心主任。

兼任中國醫院協會信息專業委員會委員、中國衛生信息學會電子病歷與醫院信息化專業委員會委員、中國醫學裝備學會數字醫療技術分會委員、中國研究型醫院學會醫療和臨床科研大數據應用專業委員會委員、天津市衛生信息學會常務理事、天津市衛生健康信息化建設專家等多項學術兼職。

來源：HIT專家網