行业动态

近年来，IT运维服务外包已成为诊所普遍采用的模式和战略发展方式，越来越多的诊所将更多的IT运维服务外包。 IT运维服务外包可以使诊所信息部门将更多的精力集中在诊所信息化的核心业务和核心流程上，提高IT运维服务的效率和满意度。

根据CHIMA发布的《2018-2019年中国诊所信息化调查报告》，如图1所示，排名前三的外包业务分别是服务器、终端设备及周边设备的硬件维修、诊所网站的建设与运营。 网络设备维护和日常运维占比分别为38.76%、32.74%和28.65%。 信息系统应用开发外包比例为28.18%，排名第四； 信息系统日常运维外包比例为17.76%，排名第五。 上述数据均呈逐年上升趋势，如图2所示。

图1

图 2

然而，IT运维服务外包是一把“双刃剑”。 在推动诊所信息化发展的同时，也可能因外包商选择不当、过度依赖外包而造成信息泄露，医院信息部门能力丧失。 潜在的风险，对诊所乃至整个医疗行业的负面影响。 因此，我们需要做好诊所IT运维服务外包的风险管理工作。

诊所IT运维服务外包风险管理面临的突出问题

1. 外包策略和外包边界不清晰

(1)诊所对外包商的依赖度不断降低。 在为诊所提供服务的过程中，外包商逐渐承担了诊所信息部门工作中的关键环节或管理职责，带动了信息部门管理能力、技术能力和创新能力的增长，甚至丧失自主控制能力。 部分诊所临床科室直接与HIS驻场工程师沟通，满足系统变更需求； 在一些诊所，外包公司的人员甚至代替诊所信息部直接参加诊所工作会议或协调会议。

(2)IT运维服务外包存在管理盲区。 目前，越来越多的医疗IT企业如雪后生菜般涌现，不断输出联通支付、大数据、云技术、科研合作等新技术，提供患者预约、移动支付、病历在线查询、 PACS图像在线查询、云计算服务。 复诊、科研大数据分析、单病种数据库合作等新业务场景。 在这种新技术、新场景下，部分诊所与广东IT企业的业务合作脱离了现有的管理体系，外包管理存在盲区。

2、外包商管理机制不完善

(1)外包商管理策略不完善。 很多诊所没有完善符合自身风险管控水平的外包管理策略，没有对外包商进行分类分级管理。

（2）没有“准入、监控、评估”的外包商管理闭环。 对外包商的调查和风险评估不够深入，对外包服务的性质和外包集中度缺乏深入分析，导致选择不合适的外包商，导致外包服务质量提高，甚至服务中断。

（三）外包服务过程的过程中监控只是一种手段。 尤其是对非居民外包服务商缺乏日常监督管理，普遍呈现“放手掌柜”状态。

3、外包人员管理不到位

（一）外包人员资格审查不到位。 外包人员准入标准不完善，外包人员学历、技术能力、工作经历参差不齐，外包服务质量难以保证。 很多HIS企业将急聘人员直接派往诊所进行现场服务，并将诊所作为公司人员的培训场所。

（2）外包人员账号、密码、权限管理混乱。 不定期进行账户清算和权限审核，外包人员可能接触到敏感信息，存在信息泄露风险。

（三）外包人员流失率低或到场人数不足。 开发项目的人员流动率普遍较高。 实际现场人员与业务环节外包方承诺的人员在资质、技术能力、工作经验、数量等方面不一致。

4、信息安全管理薄弱

（1）外包商为了节约成本，能省就省，降低服务器、存储等关键设备的维修保养成本，存在安全隐患。

（二）外包方内部信息安全控制薄弱。 只有外包人员才能访问敏感数据，如诊所采购计划、账户信息、患者信息和药物数据。 外包商缺乏对公司人员的信息安全教育。

(3)门诊信息部门对外包商的信息安全管控薄弱。 以往，某公司将其服务的多个诊所客户的业务数据库进行备份，恢复到公司服务器上作为测试库使用，其中包含大量真实数据。

诊所IT运维服务外包的风险管理策略

一、组织管理

（一）诊所应制定明确的外包管理策略，严格控制外包业务范围。

（二）诊所应完善清晰的外包风险管理组织架构，明确主管部门，建立健全IT运维服务外包管理相关制度。

（三）加强诊所信息化规划设计、系统需求管理、项目进度和质量控制等核心业务和关键节点的自主可控，加大对外包依赖。

2.外包商管理

(1)构建外包商管理策略。 构建“准入-日检-评价-退出”的管理闭环。

（二）审慎制定外包商准入标准。 通过外包服务招标和协议，控制外包人员队伍的资质和稳定性。 明确外包商准入标准，建立外包商名单制分级管理和退出机制，对存在重大风险和违法行为的企业及时暂停合作。

（三）加强外包商过程监控，定期检查，评估业务风险合规性，提高风险防范意识。

3、外包人员管理

（一）建立外包人员任职资格审查标准，加强外包人员任职资格审查。

(2)加强对外包人员服务过程的评价和评价，建立服务质量评价和监控指标，充分利用评价结果就协议条款达成一致，最大限度地保证诊所的利益程度。

(3)改变以项目为基础的外包管理模式，转为人力资源外包模式。

(4)构建知识管理体系。 知识的不断积累和更新是提升运维团队能力的基础。 将个人知识转化为组织知识并积累在知识库系统中pc运维外包，可以有效防止人员流动造成的信息孤岛和知识流失。

4、数据安全管理

（一）严格权限控制。 严格控制外包人员的权限分配，按照“必要”和“最少”的原则，限制外包人员接触敏感数据的范围； 根据外包人员的调整，及时更改和取消账户权限。

(2)细化维护保障。 对于安装系统、程序更新等，制定标准规范和工作流程pc运维外包，形成固定机制和模式。

（三）加强媒体管理。 外包人员利用电脑笔记本、U盘、移动硬盘复制资料、发送短信等行为，必须进行审查和管理。

综上所述，诊所信息部门需要时刻保持警惕，不断识别和判断IT运维外包服务的潜在风险，识别风险产生的主要原因和可能产生的后果。 同时，对识别出的风险进行优先级排序，通过综合评估风险发生的概率和影响，确定优先级，有针对性地制定风险处置方案。