醫(yī)院信息系統(tǒng)運(yùn)維環(huán)節(jié)風(fēng)險(xiǎn)控制

閆尖帥

[摘 要]隨著信息技術(shù)的快速發(fā)展，醫(yī)院信息化建設(shè)已初具規(guī)模，各大醫(yī)院的信息系統(tǒng)已經(jīng)投入使用，為醫(yī)院的各項(xiàng)工作提供有力支持。但由于信息系統(tǒng)的復(fù)雜性和網(wǎng)絡(luò)的開放性，醫(yī)院信息系統(tǒng)的使用也給醫(yī)院帶來了許多風(fēng)險(xiǎn)問題，特別是在運(yùn)維環(huán)節(jié)，產(chǎn)生風(fēng)險(xiǎn)的因素較多，造成的影響較大，因此對醫(yī)院信息系統(tǒng)運(yùn)維環(huán)節(jié)的風(fēng)險(xiǎn)控制進(jìn)行研究是十分必要的，是確保醫(yī)院信息系統(tǒng)能夠穩(wěn)定運(yùn)行的關(guān)鍵。本文將對醫(yī)院信息系統(tǒng)運(yùn)維環(huán)節(jié)進(jìn)行簡單介紹，分析其風(fēng)險(xiǎn)形成的原因，并對其風(fēng)險(xiǎn)識別和風(fēng)險(xiǎn)控制提出了幾點(diǎn)建議。

[關(guān)鍵詞]醫(yī)院；信息系統(tǒng)；運(yùn)維環(huán)節(jié)；風(fēng)險(xiǎn)控制

doi：10.3969/j.issn.1673 - 0194.2017.06.104

[中圖分類號]F270.7；R197.3 [文獻(xiàn)標(biāo)識碼]A [文章編號]1673-0194（2017）06-0-01

醫(yī)院信息化建設(shè)近年來取得了長足進(jìn)步，改變了傳統(tǒng)的醫(yī)療管理和信息管理模式，極大地提高了醫(yī)院的工作效率，為醫(yī)院帶來巨大的經(jīng)濟(jì)效益和社會效應(yīng)。醫(yī)院信息化建設(shè)已成為提高醫(yī)院競爭力的主要因素。醫(yī)院信息系統(tǒng)的運(yùn)行維護(hù)與系統(tǒng)開發(fā)具有同樣重要的地位，是保證醫(yī)院信息系統(tǒng)能夠穩(wěn)定運(yùn)行的關(guān)鍵。但在運(yùn)維環(huán)節(jié)中，往往面臨著許多風(fēng)險(xiǎn)，會對醫(yī)院信息系統(tǒng)的實(shí)際使用產(chǎn)生較大影響，且醫(yī)院信息系統(tǒng)運(yùn)維環(huán)節(jié)的風(fēng)險(xiǎn)控制是困擾運(yùn)維管理人員的核心問題。

1 醫(yī)院信息系統(tǒng)運(yùn)維環(huán)節(jié)的簡述

醫(yī)院信息系統(tǒng)的開發(fā)和使用主要包括系統(tǒng)設(shè)計(jì)與開發(fā)、應(yīng)用軟件開發(fā)、系統(tǒng)測試和系統(tǒng)運(yùn)維等幾個(gè)環(huán)節(jié)。其中，運(yùn)維環(huán)節(jié)是對已經(jīng)完成建設(shè)并投入使用的信息系統(tǒng)的軟件、硬件、網(wǎng)絡(luò)環(huán)境等多方面進(jìn)行維護(hù)的過程。運(yùn)維人員、運(yùn)維技術(shù)、運(yùn)維流程是運(yùn)維環(huán)節(jié)的三個(gè)基本要素，對運(yùn)維環(huán)節(jié)都有重要影響，三者相互結(jié)合、相互制約，共同完成醫(yī)院信息系統(tǒng)的運(yùn)維工作。運(yùn)維人員是運(yùn)維工作的主體，包括運(yùn)維支撐中心的各級員工。運(yùn)維技術(shù)是在運(yùn)維過程中采取的各種系統(tǒng)監(jiān)測、控制手段。運(yùn)維流程則是系統(tǒng)運(yùn)行維護(hù)的全過程，包括業(yè)務(wù)需求響應(yīng)流程、故障處理流程等。醫(yī)院信息系統(tǒng)的運(yùn)維目的是保證系統(tǒng)安全穩(wěn)定運(yùn)行，為醫(yī)院的各項(xiàng)業(yè)務(wù)提供可靠支持，保證系統(tǒng)運(yùn)行的高效性。

2 運(yùn)維環(huán)節(jié)的風(fēng)險(xiǎn)成因

運(yùn)維環(huán)節(jié)的風(fēng)險(xiǎn)主要可以分成兩類，一是管理類風(fēng)險(xiǎn)，二是技術(shù)類風(fēng)險(xiǎn)。管理類風(fēng)險(xiǎn)主要是由于各部門之間缺乏協(xié)調(diào)配合、具體人員的責(zé)任不清而產(chǎn)生的。雖然專職的運(yùn)維人員都是由專業(yè)信息技術(shù)人員組成的，但是運(yùn)維故障往往不是單純的技術(shù)性問題，需要多個(gè)部門人員協(xié)調(diào)配合，共同解決。但由于運(yùn)維責(zé)任沒有明確分配，各部門人員與專職的運(yùn)維人員缺乏溝通配合，容易出現(xiàn)責(zé)任推諉的現(xiàn)象，即使問題很容易被解決，但由于人員的拖拉，風(fēng)險(xiǎn)問題的解決往往會被長時(shí)間拖延，以至于影響到醫(yī)院信息系統(tǒng)的正常運(yùn)行。

技術(shù)類風(fēng)險(xiǎn)的成因有很多，比如軟件與硬件不配套、網(wǎng)絡(luò)故障、軟件更新落后、系統(tǒng)漏洞等，在醫(yī)院信息系統(tǒng)的運(yùn)維環(huán)節(jié)中，技術(shù)類風(fēng)險(xiǎn)是不可避免的，可能出現(xiàn)于核心機(jī)房設(shè)備、站點(diǎn)硬件設(shè)備、醫(yī)療、醫(yī)藥軟件系統(tǒng)和計(jì)算機(jī)操作系統(tǒng)等各個(gè)方面。究其原因，一是信息技術(shù)在不斷發(fā)展，技術(shù)風(fēng)險(xiǎn)也不斷涌現(xiàn)；二是缺乏詳細(xì)的安全預(yù)案和有效的應(yīng)急措施，還未能做到對運(yùn)維風(fēng)險(xiǎn)的有效控制。

3 運(yùn)維環(huán)節(jié)的風(fēng)險(xiǎn)識別

對醫(yī)院信息系統(tǒng)運(yùn)維環(huán)節(jié)的風(fēng)險(xiǎn)進(jìn)行有效識別，是實(shí)現(xiàn)風(fēng)險(xiǎn)有效控制的前提。為了對可能面對的風(fēng)險(xiǎn)進(jìn)行識別，首先要對醫(yī)院信息系統(tǒng)運(yùn)維環(huán)節(jié)的風(fēng)險(xiǎn)進(jìn)行分類，并明確其特點(diǎn)和可能發(fā)生的階段。管理類風(fēng)險(xiǎn)包括責(zé)任風(fēng)險(xiǎn)、制度風(fēng)險(xiǎn)、質(zhì)量風(fēng)險(xiǎn)、人員管理風(fēng)險(xiǎn)以及項(xiàng)目組織結(jié)構(gòu)風(fēng)險(xiǎn)。其特點(diǎn)是貫穿于運(yùn)維環(huán)節(jié)的整個(gè)過程，具體可能發(fā)生在責(zé)任分配、成員確定、主動巡檢、故障受理、資料收集、日志記錄、系統(tǒng)徹查、所報(bào)部門反饋和維護(hù)情況審定等階段。技術(shù)類風(fēng)險(xiǎn)主要包括軟、硬件風(fēng)險(xiǎn)、網(wǎng)絡(luò)風(fēng)險(xiǎn)、系統(tǒng)風(fēng)險(xiǎn)、數(shù)據(jù)保密風(fēng)險(xiǎn)、病毒風(fēng)險(xiǎn)和操作風(fēng)險(xiǎn)等，其特點(diǎn)是集中體現(xiàn)于故障處理和日常維護(hù)的各個(gè)環(huán)節(jié)，具體可能發(fā)生在故障處理、軟件升級、硬件保養(yǎng)等階段。本文主要研究運(yùn)維環(huán)節(jié)技術(shù)類風(fēng)險(xiǎn)的控制措施。

4 運(yùn)維環(huán)節(jié)的技術(shù)類風(fēng)險(xiǎn)控制

4.1 編制技術(shù)風(fēng)險(xiǎn)控制手冊

為實(shí)現(xiàn)技術(shù)風(fēng)險(xiǎn)的有效控制，應(yīng)編制技術(shù)風(fēng)險(xiǎn)控制手冊，明確技術(shù)風(fēng)險(xiǎn)控制的主要目的，即監(jiān)控風(fēng)險(xiǎn)、找出風(fēng)險(xiǎn)、分析風(fēng)險(xiǎn)以及處置風(fēng)險(xiǎn)，將風(fēng)險(xiǎn)對醫(yī)院信息系統(tǒng)可能造成的影響降至最低。明確技術(shù)風(fēng)險(xiǎn)控制的管理方針，以預(yù)防為主、監(jiān)控為輔，實(shí)行風(fēng)險(xiǎn)預(yù)防策略和風(fēng)險(xiǎn)減輕策略。根據(jù)運(yùn)維實(shí)際情況建立風(fēng)險(xiǎn)控制目標(biāo)，保證其適用性和有效性，對風(fēng)險(xiǎn)控制進(jìn)行量化規(guī)定，為具體的風(fēng)險(xiǎn)控制工作提供依據(jù)。

4.2 建立技術(shù)風(fēng)險(xiǎn)程序

分別建立技術(shù)風(fēng)險(xiǎn)監(jiān)控程序、技術(shù)風(fēng)險(xiǎn)處置程序和技術(shù)風(fēng)險(xiǎn)應(yīng)急程序。風(fēng)險(xiǎn)監(jiān)控程序主要是指風(fēng)險(xiǎn)預(yù)警系統(tǒng)，對可能出現(xiàn)的風(fēng)險(xiǎn)進(jìn)行超前管理，及時(shí)發(fā)現(xiàn)風(fēng)險(xiǎn)出現(xiàn)的征兆，發(fā)出預(yù)警信號，避免風(fēng)險(xiǎn)引發(fā)的不可控后果。風(fēng)險(xiǎn)處置程序包括物理環(huán)境、網(wǎng)絡(luò)平臺、主機(jī)系統(tǒng)、應(yīng)用系統(tǒng)以及數(shù)據(jù)安全的風(fēng)險(xiǎn)處置，具體包括對核心機(jī)房、站點(diǎn)設(shè)備的管理維護(hù)、對網(wǎng)絡(luò)訪問權(quán)限的控制機(jī)邊界安全的控制、對主機(jī)操作系統(tǒng)安全和數(shù)據(jù)安全的防護(hù)、對用戶數(shù)據(jù)的保護(hù)和通信保密、對數(shù)據(jù)存儲安全和數(shù)據(jù)完整性的驗(yàn)證等控制措施。

4.3 建立技術(shù)風(fēng)險(xiǎn)輔助措施

對技術(shù)風(fēng)險(xiǎn)的有效控制也離不開輔助措施的實(shí)施，應(yīng)完善風(fēng)險(xiǎn)責(zé)任制，將技術(shù)風(fēng)險(xiǎn)控制責(zé)任落實(shí)到個(gè)人，并賦予其相應(yīng)的資源和權(quán)利。制訂相應(yīng)的風(fēng)險(xiǎn)控制時(shí)間計(jì)劃，確保行動的及時(shí)性。建立風(fēng)險(xiǎn)信息報(bào)告制，搜集風(fēng)險(xiǎn)控制工作信息，向管理人員報(bào)告風(fēng)險(xiǎn)控制水平。建立風(fēng)險(xiǎn)案例庫，累積風(fēng)險(xiǎn)控制經(jīng)驗(yàn)，促進(jìn)風(fēng)險(xiǎn)控制能力的提升。

5 結(jié) 語

醫(yī)院信息系統(tǒng)的運(yùn)維環(huán)節(jié)面臨著多種風(fēng)險(xiǎn)因素，醫(yī)院必須要做好風(fēng)險(xiǎn)控制工作，才能保證醫(yī)院信息系統(tǒng)的穩(wěn)定運(yùn)行。本文首先對運(yùn)維環(huán)節(jié)進(jìn)行了簡單介紹，對運(yùn)維環(huán)節(jié)的常見風(fēng)險(xiǎn)及形成原因進(jìn)行了分析，并提出了幾點(diǎn)風(fēng)險(xiǎn)控制的建議，希望能起到一些參考作用。

主要參考文獻(xiàn)

[1]王躍忠.四平地區(qū)醫(yī)院信息安全保障問題分析及對策研究[D].長春：吉林大學(xué)，2015.