近年來，IT運維服務外包已成為診所普遍采用的模式和戰略發展方式，越來越多的診所將更多的IT運維服務外包。 IT運維服務外包可以使診所信息部門將更多的精力集中在診所信息化的核心業務和核心流程上，提高IT運維服務的效率和滿意度。

根據CHIMA發布的《2018-2019年中國診所信息化調查報告》，如圖1所示，排名前三的外包業務分別是服務器、終端設備及周邊設備的硬件維修、診所網站的建設與運營。 網絡設備維護和日常運維占比分別為38.76%、32.74%和28.65%。 信息系統應用開發外包比例為28.18%，排名第四； 信息系統日常運維外包比例為17.76%，排名第五。 上述數據均呈逐年上升趨勢，如圖2所示。

圖1

圖 2

然而，IT運維服務外包是一把“雙刃劍”。 在推動診所信息化發展的同時，也可能因外包商選擇不當、過度依賴外包而造成信息泄露，醫院信息部門能力喪失。 潛在的風險，對診所乃至整個醫療行業的負面影響。 因此，我們需要做好診所IT運維服務外包的風險管理工作。

診所IT運維服務外包風險管理面臨的突出問題

1. 外包策略和外包邊界不清晰

(1)診所對外包商的依賴度不斷降低。 在為診所提供服務的過程中，外包商逐漸承擔了診所信息部門工作中的關鍵環節或管理職責，帶動了信息部門管理能力、技術能力和創新能力的增長，甚至喪失自主控制能力。 部分診所臨床科室直接與HIS駐場工程師溝通，滿足系統變更需求； 在一些診所，外包公司的人員甚至代替診所信息部直接參加診所工作會議或協調會議。

(2)IT運維服務外包存在管理盲區。 目前，越來越多的醫療IT企業如雪后生菜般涌現，不斷輸出聯通支付、大數據、云技術、科研合作等新技術，提供患者預約、移動支付、病歷在線查詢、 PACS圖像在線查詢、云計算服務。 復診、科研大數據分析、單病種數據庫合作等新業務場景。 在這種新技術、新場景下，部分診所與廣東IT企業的業務合作脫離了現有的管理體系，外包管理存在盲區。

2、外包商管理機制不完善

(1)外包商管理策略不完善。 很多診所沒有完善符合自身風險管控水平的外包管理策略，沒有對外包商進行分類分級管理。

（2）沒有“準入、監控、評估”的外包商管理閉環。 對外包商的調查和風險評估不夠深入，對外包服務的性質和外包集中度缺乏深入分析，導致選擇不合適的外包商，導致外包服務質量提高，甚至服務中斷。

（三）外包服務過程的過程中監控只是一種手段。 尤其是對非居民外包服務商缺乏日常監督管理，普遍呈現“放手掌柜”狀態。

3、外包人員管理不到位

（一）外包人員資格審查不到位。 外包人員準入標準不完善，外包人員學歷、技術能力、工作經歷參差不齊，外包服務質量難以保證。 很多HIS企業將急聘人員直接派往診所進行現場服務，并將診所作為公司人員的培訓場所。

（2）外包人員賬號、密碼、權限管理混亂。 不定期進行賬戶清算和權限審核，外包人員可能接觸到敏感信息，存在信息泄露風險。

（三）外包人員流失率低或到場人數不足。 開發項目的人員流動率普遍較高。 實際現場人員與業務環節外包方承諾的人員在資質、技術能力、工作經驗、數量等方面不一致。

4、信息安全管理薄弱

（1）外包商為了節約成本，能省就省，降低服務器、存儲等關鍵設備的維修保養成本，存在安全隱患。

（二）外包方內部信息安全控制薄弱。 只有外包人員才能訪問敏感數據，如診所采購計劃、賬戶信息、患者信息和藥物數據。 外包商缺乏對公司人員的信息安全教育。

(3)門診信息部門對外包商的信息安全管控薄弱。 以往，某公司將其服務的多個診所客戶的業務數據庫進行備份，恢復到公司服務器上作為測試庫使用，其中包含大量真實數據。

診所IT運維服務外包的風險管理策略

一、組織管理

（一）診所應制定明確的外包管理策略，嚴格控制外包業務范圍。

（二）診所應完善清晰的外包風險管理組織架構，明確主管部門，建立健全IT運維服務外包管理相關制度。

（三）加強診所信息化規劃設計、系統需求管理、項目進度和質量控制等核心業務和關鍵節點的自主可控，加大對外包依賴。

2.外包商管理

(1)構建外包商管理策略。 構建“準入-日檢-評價-退出”的管理閉環。

（二）審慎制定外包商準入標準。 通過外包服務招標和協議，控制外包人員隊伍的資質和穩定性。 明確外包商準入標準，建立外包商名單制分級管理和退出機制，對存在重大風險和違法行為的企業及時暫停合作。

（三）加強外包商過程監控，定期檢查，評估業務風險合規性，提高風險防范意識。

3、外包人員管理

（一）建立外包人員任職資格審查標準，加強外包人員任職資格審查。

(2)加強對外包人員服務過程的評價和評價，建立服務質量評價和監控指標，充分利用評價結果就協議條款達成一致，最大限度地保證診所的利益程度。

(3)改變以項目為基礎的外包管理模式，轉為人力資源外包模式。

(4)構建知識管理體系。 知識的不斷積累和更新是提升運維團隊能力的基礎。 將個人知識轉化為組織知識并積累在知識庫系統中pc運維外包，可以有效防止人員流動造成的信息孤島和知識流失。

4、數據安全管理

（一）嚴格權限控制。 嚴格控制外包人員的權限分配，按照“必要”和“最少”的原則，限制外包人員接觸敏感數據的范圍； 根據外包人員的調整，及時更改和取消賬戶權限。

(2)細化維護保障。 對于安裝系統、程序更新等，制定標準規范和工作流程pc運維外包，形成固定機制和模式。

（三）加強媒體管理。 外包人員利用電腦筆記本、U盤、移動硬盤復制資料、發送短信等行為，必須進行審查和管理。

綜上所述，診所信息部門需要時刻保持警惕，不斷識別和判斷IT運維外包服務的潛在風險，識別風險產生的主要原因和可能產生的后果。 同時，對識別出的風險進行優先級排序，通過綜合評估風險發生的概率和影響，確定優先級，有針對性地制定風險處置方案。