醫院信息系統運維環節風險控制

閆尖帥

[摘 要]隨著信息技術的快速發展，醫院信息化建設已初具規模，各大醫院的信息系統已經投入使用，為醫院的各項工作提供有力支持。但由于信息系統的復雜性和網絡的開放性，醫院信息系統的使用也給醫院帶來了許多風險問題，特別是在運維環節，產生風險的因素較多，造成的影響較大，因此對醫院信息系統運維環節的風險控制進行研究是十分必要的，是確保醫院信息系統能夠穩定運行的關鍵。本文將對醫院信息系統運維環節進行簡單介紹，分析其風險形成的原因，并對其風險識別和風險控制提出了幾點建議。

[關鍵詞]醫院；信息系統；運維環節；風險控制

doi：10.3969/j.issn.1673 - 0194.2017.06.104

[中圖分類號]F270.7；R197.3 [文獻標識碼]A [文章編號]1673-0194（2017）06-0-01

醫院信息化建設近年來取得了長足進步，改變了傳統的醫療管理和信息管理模式，極大地提高了醫院的工作效率，為醫院帶來巨大的經濟效益和社會效應。醫院信息化建設已成為提高醫院競爭力的主要因素。醫院信息系統的運行維護與系統開發具有同樣重要的地位，是保證醫院信息系統能夠穩定運行的關鍵。但在運維環節中，往往面臨著許多風險，會對醫院信息系統的實際使用產生較大影響，且醫院信息系統運維環節的風險控制是困擾運維管理人員的核心問題。

1 醫院信息系統運維環節的簡述

醫院信息系統的開發和使用主要包括系統設計與開發、應用軟件開發、系統測試和系統運維等幾個環節。其中，運維環節是對已經完成建設并投入使用的信息系統的軟件、硬件、網絡環境等多方面進行維護的過程。運維人員、運維技術、運維流程是運維環節的三個基本要素，對運維環節都有重要影響，三者相互結合、相互制約，共同完成醫院信息系統的運維工作。運維人員是運維工作的主體，包括運維支撐中心的各級員工。運維技術是在運維過程中采取的各種系統監測、控制手段。運維流程則是系統運行維護的全過程，包括業務需求響應流程、故障處理流程等。醫院信息系統的運維目的是保證系統安全穩定運行，為醫院的各項業務提供可靠支持，保證系統運行的高效性。

2 運維環節的風險成因

運維環節的風險主要可以分成兩類，一是管理類風險，二是技術類風險。管理類風險主要是由于各部門之間缺乏協調配合、具體人員的責任不清而產生的。雖然專職的運維人員都是由專業信息技術人員組成的，但是運維故障往往不是單純的技術性問題，需要多個部門人員協調配合，共同解決。但由于運維責任沒有明確分配，各部門人員與專職的運維人員缺乏溝通配合，容易出現責任推諉的現象，即使問題很容易被解決，但由于人員的拖拉，風險問題的解決往往會被長時間拖延，以至于影響到醫院信息系統的正常運行。

技術類風險的成因有很多，比如軟件與硬件不配套、網絡故障、軟件更新落后、系統漏洞等，在醫院信息系統的運維環節中，技術類風險是不可避免的，可能出現于核心機房設備、站點硬件設備、醫療、醫藥軟件系統和計算機操作系統等各個方面。究其原因，一是信息技術在不斷發展，技術風險也不斷涌現；二是缺乏詳細的安全預案和有效的應急措施，還未能做到對運維風險的有效控制。

3 運維環節的風險識別

對醫院信息系統運維環節的風險進行有效識別，是實現風險有效控制的前提。為了對可能面對的風險進行識別，首先要對醫院信息系統運維環節的風險進行分類，并明確其特點和可能發生的階段。管理類風險包括責任風險、制度風險、質量風險、人員管理風險以及項目組織結構風險。其特點是貫穿于運維環節的整個過程，具體可能發生在責任分配、成員確定、主動巡檢、故障受理、資料收集、日志記錄、系統徹查、所報部門反饋和維護情況審定等階段。技術類風險主要包括軟、硬件風險、網絡風險、系統風險、數據保密風險、病毒風險和操作風險等，其特點是集中體現于故障處理和日常維護的各個環節，具體可能發生在故障處理、軟件升級、硬件保養等階段。本文主要研究運維環節技術類風險的控制措施。

4 運維環節的技術類風險控制

4.1 編制技術風險控制手冊

為實現技術風險的有效控制，應編制技術風險控制手冊，明確技術風險控制的主要目的，即監控風險、找出風險、分析風險以及處置風險，將風險對醫院信息系統可能造成的影響降至最低。明確技術風險控制的管理方針，以預防為主、監控為輔，實行風險預防策略和風險減輕策略。根據運維實際情況建立風險控制目標，保證其適用性和有效性，對風險控制進行量化規定，為具體的風險控制工作提供依據。

4.2 建立技術風險程序

分別建立技術風險監控程序、技術風險處置程序和技術風險應急程序。風險監控程序主要是指風險預警系統，對可能出現的風險進行超前管理，及時發現風險出現的征兆，發出預警信號，避免風險引發的不可控后果。風險處置程序包括物理環境、網絡平臺、主機系統、應用系統以及數據安全的風險處置，具體包括對核心機房、站點設備的管理維護、對網絡訪問權限的控制機邊界安全的控制、對主機操作系統安全和數據安全的防護、對用戶數據的保護和通信保密、對數據存儲安全和數據完整性的驗證等控制措施。

4.3 建立技術風險輔助措施

對技術風險的有效控制也離不開輔助措施的實施，應完善風險責任制，將技術風險控制責任落實到個人，并賦予其相應的資源和權利。制訂相應的風險控制時間計劃，確保行動的及時性。建立風險信息報告制，搜集風險控制工作信息，向管理人員報告風險控制水平。建立風險案例庫，累積風險控制經驗，促進風險控制能力的提升。

5 結 語

醫院信息系統的運維環節面臨著多種風險因素，醫院必須要做好風險控制工作，才能保證醫院信息系統的穩定運行。本文首先對運維環節進行了簡單介紹，對運維環節的常見風險及形成原因進行了分析，并提出了幾點風險控制的建議，希望能起到一些參考作用。

主要參考文獻

[1]王躍忠.四平地區醫院信息安全保障問題分析及對策研究[D].長春：吉林大學，2015.