在互联互通评级过程中，某医院将评级视为政治要求，将任务安排给信息科负责。由于该医院信息化建设推进过程中，引入了服务外包，以满足本院的业务发展需求，便把评级工作交于厂商负责。本次评审最终失败。

笔者受邀参与复盘，谈谈个人的体会。

信息系统外包管理，一直是医院信息化工作的重点。由于信息科底子相对薄弱，中小医疗机构仅靠自身技术实力难以快速实现信息系统建设。为快速提升竞争力，避免信息化成为发展短板，中小医疗机构采用信息项目外包的方式，实现大量信息系统建设，为业务发展争取到了时机。

但是，信息项目外包也造成了中小医疗机构对服务提供商的相对依赖，以及相关安全隐患的增加。为了将这些负面因素限制在可控范围内，有健康的信息系统运营支撑业务发展，中小医疗机构应在信息项目外包管理领域狠下功夫，尤其是信息项目外包风险管理。

因此，对中小医疗机构来说，信息项目外包管理是提升自主可控水平的有力抓手，进一步完善信息项目外包管理体系，可以促使医院信息化得到稳健发展。

信息项目外包管理模式，就是以风险管控为管理目标所形成的一套管理体系。信息项目外包项目的开展，可能会引发管控能力丧失、信息泄露、服务中断、服务质量下降等风险发生。医疗机构应建立相关管理标准，形成对信息项目外包风险的防控措施。

以下就信息项目外包管理模式在风险管理方面的举措进行说明。

防范管控能力丧失风险

管控能力丧失是指，医院由于资金不到位、信息人员不充足等因素，大范围开展信息项目外包项目，导致医院过度依赖外部资源，从而丧失对项目、技术、成本的掌控，影响业务创新与发展。

例如，医疗机构采用整体外包的形式，将信息项目外包给外包服务供应商、托管至其他同业机构，或将行内的信息项目管理等核心职能外包至外包服务提供商。这种过度依赖乙方的外包模式，会让信息项目工作开展脱离自身控制。长此以往，将丧失对自身信息项目的管控能力，受制于人。

通过建立信息项目外包管理体系，从外包决策环节深入评估信息项目外包项目与本单位信息项目发展战略、信息项目外包战略的一致性，风险可控性，外包市场环境成熟度等，可以有效防范管控能力丧失风险的发生。

服务供应商为医院提供信息项目外包服务的过程中，医疗机构应提高外包项目的参与程度，督促服务供应商按照合同要求完成对医院内部人员的培训与知识转移工作，做到对关键技术的掌控。避免由于突发状况，导致医院失去对其技术的掌控能力，对本医院业务稳定开展产生重要影响。

防范信息泄露风险

信息泄露是指，服务提供商非法获取患者信息等非公开数据，从而有可能导致相关法律风险和声誉风险，给医院带来巨大损失。

信息泄露存在以下几种情况：第一，外包服务提供商信息安全管理体系不健全，缺乏相应的安全运维能力，会导致医院患者重要信息的泄露；第二，外包人员技术能力不足，在代码编写过程中留有很多技术漏洞，增加信息泄露风险；第三，外包服务的管理流程不够规范，上线时未关闭服务端或者客户端的调试接口，被黑客利用会造成不可估量的损失；第四，外包人员故意留存逻辑后门等。

信息泄露风险一般在信息项目外包项目实施过程中发生，对应项目执行与监控这一环节。为防范信息泄露风险，中小医院应在合同等文本中约定服务供应商的安全保密责任，并加强服务过程中的安全培训、安全检查、信息资产访问权限控制、交付物安全检查等管理，发现问题及时督促整改，对严重违纪或整改不过关的服务供应商及时清退，保证本医院利益。

防范服务中断风险

服务中断风险是指，服务供应商无法持续为医院提供服务，从而导致外包服务中断的风险。

咨询类、研发类服务的外包服务中断会导致项目延期等情况。此类外包服务中断事件虽然并未对医疗机构的业务运行产生直接影响，但会对医疗机构原有的工作计划、合同规定的服务进度产生影响，造成一定的损失。

运维类外包服务的服务中断会直接影响医院的业务连续性，导致具体业务中断。特别是像ＨＩＳ系统等重要信息系统的服务中断，会直接导致医院无法正常开展业务，后果无法估量。

服务中断风险发生在信息项目外包项目实施过程中，对应项目执行与监控这一环节。为防范服务中断风险，中小医院应加强业务连续性管理，将涉及重要业务的信息系统、服务供应商等资源纳入管理范围：通过持续对服务供应商进行监控，及时掌握其经营、管理情况，确保信息渠道顺畅；与服务供应商制定符合信息项目外包项日要求的应急预案，并及时开展演练，进行质量评估，提升管理力度。

防范服务质量下降风险

服务质量下降是指，由于外包服务供应商在资源配置、工作推进方面效率低下，导致中小医院对内或对外服务水平下降。

服务质量下降风险的产生主要有三个因素：第一，医院在服务供应商的选择上存在偏差，未准确选择可以满足服务要求的公司，导致服务质量下降；第二，医院未明确服务水平协议、信息项目外包服务的目标及要求，导致服务供应商无客观标准参照执行，对服务结果的考评过于主观。第三，在信息项目外包服务实施过程中，医疗机构缺乏对服务开展的持续监控，放任服务供应商不按规定开展相关服务。

构建信息项目外包管理模式

除防范上述风险外，医院还应关注监管部门重点提示的高风险信息项目外包服务及服务供应商管理。在当前信息项目外包市场中，高风险的信息项目外包服务及服务供应商增加了医院外包风险控制难度与风险影响程度。医疗机构构建信息项目外包管理模式，目的在于：

一、防范关联外包风险。

由于关联关系的存在，可能会导致医院对外包风险控制水平的弱化，或者难以实施外包风险管理。医疗机构应制定统一的风险管理标准，严格按照要求管理关联外包情况。

二、　防范集中度风险。

一些服务供应商面向的医院客户众多，这会大大加大集中度风险的产生。医疗机构应制定识别标准，及时发现具备机构集中度特点的服务供应商，通过分散外包，提高自主建设能力并规避风险。若无法避免使用上述服务供应商，应严格对其进行准入调查，并要求其为本医院提供独立的服务资源，加强管理力度。

三、防范非驻场外包风险。

非驻场外包是指未在医院提供的场所进行的信息项目外包服务，由于外包实施地点距离远，医院对其管理与控制能力相对较差，无法及时发现服务过程中的风险。对于提供非驻场外包的服务供应商，如果其面向的医院客户较多，会产生非驻场集中式外包，进一步加大了医疗机构的风险。中小医院应审慎使用非驻场集中式外包，若因场地等因素无法避免时，应严格选择服务供应商，加大服务实施过程中的实地检查，督促服务供应商及时整改问题，达到医院标准。

本文梳立了医院信息系统外包管理的一些风险和举措，由于篇幅的原因，下篇将讨论如何自主建设的能力。

作者李顺海：信息系统架构师、信息系统项目管理师，参与电子病历应用水平评级、医院互联互通成熟度评级等工作。

注：文章来源于网络，如有侵权，请联系删除