郝尚永：警惕医院IT运维服务外包的风险

近年来，IT运维服务外包已经成为医院普遍采用的模式和战略发展手段，越来越多的医院将更多的IT运维服务进行外包。IT运维服务外包能使医院信息部门将更多的精力专注于医院信息化的核心业务和核心流程，提高IT运维服务的效率和满意度。

根据CHIMA发布的《2018-2019年度中国医院信息化状况调查报告》，如图1所示，排在前三位的外包业务是服务器、终端设备、外周设备的硬件维修，医院网站的建设与运行维护和网络设备日常运行维护，比例分别为38.76%、32.74%、28.65%。信息系统应用开发的外包比例为28.18%，排名第四；信息系统日常运行与维护的外包比例为17.76%，排名第五。以上数据均呈现逐年上升的趋势，如图2所示。

图1

图2

但是，IT运维服务外包是一把“双刃剑”，在助力医院信息化建设发展的同时，也可能由于外包商选择不当、过度依赖外包等原因而引发信息泄露、医院信息部门能力丧失等潜在风险，对医院甚至整个医疗行业带来负面影响。因此，我们需要做好医院IT运维服务外包的风险管理。

1.外包战略和外包边界不清晰

（1）医院对外包商依赖度不断增加。在为医院提供服务的过程中，外包商逐渐承担了医院信息部门工作中的关键环节或管理职责，造成信息部门管理能力、技术能力和创新能力的下降，甚至自主掌控能力的丧失。有的医院，临床科室直接与HIS公司的驻场工程师对接系统修改需求；有的医院，外包公司的人员甚至代替医院信息部门直接参加医院工作会或协调会。

（2）IT运维服务外包存在管理盲区。目前，越来越多的医疗IT公司如雨后春笋涌现，不断输出移动支付、大数据、云技术、科研合作等新技术，提供患者预约、移动支付、在线查询病历、在线查询PACS影像、云随访、科研大数据分析、单病种数据库合作等新的业务场景。在这些新技术与新场景中，有的医院与IT服务公司的业务合作脱离了现有的管理体系，存在外包管理盲区。

2.外包商管理机制不健全

（1）外包商管理策略不完善。很多医院未建立符合自身风险管控水平的外包商管理策略，未对外包商进行分类、分级管理。

（2）未形成“准入、监控、评价”的外包商管理闭环。对外包商的进入调查和风险评估不够深入，缺少对外包服务性质、外包集中度的深入分析，导致选择了不合适的外包商，引发外包服务质量下降甚至服务中断。

（3）对外包服务过程的事中监控流于形式。特别是对非驻场外包服务商缺少日常监督、管理，普遍呈现“甩手掌柜”的状态。

3.外包人员管理不到位

（1）外包人员资质审查不到位。未建立外包人员准入标准，外包人员的学历背景、技术能力、工作经验参差不齐，导致外包服务质量无法保证。很多HIS公司把刚刚招聘的人员直接派到医院现场提供驻场服务，把医院当成了公司人员培训的现场。

（2）外包人员账号、口令及权限管理混乱。未定期进行账号清理、权限审计，外包人员可以接触敏感信息，存在信息泄露的风险隐患。

（3）外包人员变动率过高或到场人数不足。开发类项目普遍存在人员变动率大的情况。实际驻场人员与外包商在商务环节承诺的人员，在资质、技术能力、工作经验、数量等方面均不一致。

4.信息安全管理薄弱

（1）外包商为节约成本能省则省，压缩服务器、存储等关键设备的检修和维护成本，存在安全隐患。

（2）外包商内部信息安全管控薄弱。外包人员能够接触医院的采购规划、账号信息、患者信息、药品数据等敏感数据，外包商对公司人员缺乏信息安全教育。

（3）医院信息部门对外包商的信息安全管控薄弱。曾经有某公司将所服务的多家医院客户的业务数据库进行备份，恢复至公司服务器用作测试库使用，包含大量真实数据。

1.组织管理

（1）医院应制定清晰的外包管理策略，严格控制外包业务范围。

（2）医院应建立清晰的外包风险管理组织架构，明确主管部门，建立健全IT运维服务外包管理相关制度。

（3）加强医院信息化规划设计、系统需求管理、项目进度与质量管控等核心业务、关键节点的自我掌控，降低外包依赖度。

2.外包商管理

（1）建立外包商管理策略。建立“准入—日常监测—评价—退出”的管理闭环。

（2）审慎制定外包商准入标准。通过外包服务招标和合同，管控外包人员团队的资质和稳定性。明确外包商准入标准，建立外包商名单制分级管理与退出机制，对出现重大风险和违规行为的企业，及时终止合作。

（3）加强对外包商的过程监控，定期开展检查，评估业务风险合规情况，提高风险防范意识。

3.外包人员管理

（1）建立外包人员资质审查标准，加强对外包人员的资质审查。

（2）加强外包人员服务过程的考核评价，建立服务质量评价监控指标，并充分运用评价结果，通过合同条款进行约定，最大程度地保证医院利益。

（3）转变项目式外包管理模式，改用人力资源外包模式。

（4）建立知识管理体系。知识的不断积累和更新，是运维团队能力提升的基础，将个人知识转化为组织知识，积累在知识库系统中，可以有效避免由于人员流动造成的信息孤岛和知识流失。

4.数据安全管理

（1）严格权限管控。严格控制外包人员的权限分配情况，按照“是否必须”和“是否最小”原则，限制外包人员对敏感数据的接触范围；及时根据外包人员调整情况，对账户权限进行相应的变更、注销操作。

（2）细化维护安全。为安装系统、程序更新等工作，制定标准规范和工作流程，形成固定的机制和模式。

（3）加强介质管理。对外包人员利用笔记本电脑、U盘、移动硬盘拷贝数据、发送邮件等行为，都要进行审查和管理。

综上所述，医院信息部门需要时刻保持警惕，不断识别并确定IT运维外包服务的潜在风险，识别引起风险的主要因素以及可能引发的后果。同时，对已识别的风险进行优先级排序，通过对风险发生概率和影响程度的综合评估，来确定其优先级，有针对性地建立风险处置计划。

郝尚永，现任天津医科大学肿瘤医院（天津市肿瘤医院）总务处副处长、高级工程师。2000年6月毕业于天津大学管理信息系统专业，2012年6月取得天津大学软件工程硕士学位。自2000年7月参加工作，一直从事医院信息系统规划构建、设计开发、运维服务、信息管理等工作，2008年6月至2018年10月任天津医科大学肿瘤医院计算机网络中心主任。

兼任中国医院协会信息专业委员会委员、中国卫生信息学会电子病历与医院信息化专业委员会委员、中国医学装备学会数字医疗技术分会委员、中国研究型医院学会医疗和临床科研大数据应用专业委员会委员、天津市卫生信息学会常务理事、天津市卫生健康信息化建设专家等多项学术兼职。

来源：HIT专家网