大型医院信息系统维护服务外包托管的探索和实践

大型医院信息系统维护服务外包托管的探索和实践

鹿晓明① 廖邦富②廖定鑫②张可②

关键词：医院信息系统维护服务外包托管

摘要：医院信息系统维护服务外包托管,可以利用专业公司的信息技术，提高医院信息管理的水平，提高医院信息系统软件的水平，缩短维护服务周期，降低维护成本。实践证明了大型医院实行信息系统维护管理服务的外包托管的可行性。也提供了大型医院信息系统维护服务外包托管的经验和方法。

1 医院信息系统维护服务外包托管概述

建设数字化医院，实现医院信息的全面数字化管理，已经逐渐成为医院信息化建设的共识。但是如何管理和维护好数字化医院，保证医院数字化信息管理系统的长期稳定运行和不断发展，是医院面临的更重要的问题。

数字化医院的维护服务工作，是医院信息系统管理的重要的工作，随着信息系统的规模扩大，特别是实现临床信息的数字化管理后，医院信息系统的维护工作量会迅速增，技术要求也会增高，医院的信息技术的维护人员也会大量增加，这可能会增加医院非医疗管理的压力和负担。不利于医院核心医疗业务的发展。

如果医院进行信息系统维护服务外包托管，医院只需要少数人员，进行信息系统维护的管理和监督工作。医院对信息系统运行的维护管理工作的压力会大大减少，医院可以集中力量发展核心医疗业务，达到业有专攻，增加竞争力，减低营运成本，降低运行风险的目的。1]

医院实行信息系统维护服务外包托管，可以利用专业公司的信息技术，提高医院信息管理

----------------------------------------------------------------------------------

①山东大学齐鲁医院250012，济南市文化西路107号

②成电医星数字健康软件有限公司司 610047；成都市武青南路33号武侯创业中心B203

的水平，提高医院信息系统软件的水平，缩短维护服务周期，降低维护成本。医院实行信息系统维护管理服务的外包托管，可以实现医院和医院信息系统服务专

业公司的共同发展，提高软件和维护管理的质量，有利于医院数字化建设的发展。还可以使医院信息科的管理工作简单化，只是需要对托管服务工作的管理、监督、协调、考核，不需要进行具体的维护工作；信息科人员可以减少到最低。医院信息系统维护服务托管的费用支出，甚至可以小于医院自行维护管理信息系统的费用支出。

医院实行信息系统维护服务外包托管，是国外医院信息系统维护管理的主要方式。虽然业务外包托管这一现代经营管理方法，已经在不少医院的后勤、药品管理领域得到运用。但是国内医院，特别是大型医院实施信息系统维护服务的全面外包托管，尚未见报道。

2 医院信息系统外包托管的探索

2007年以来，山东大学齐鲁医院，为了促进医院更好地利用外部资源，加快信息化建设的发展，使医院社会效益和经济效益能够得到更加充分地发挥，对于医院信息系统外包托管这种管理形式进行了比较深入的探索和实践。

2.1如何选择医院信息系统托管合作伙伴

医院信息网络的管理和维护，是保证医院信息系统长期稳定运行的最重要的工作。为适应新形势下医院信息管理系统维护管理的需要，保证医院相信系统的长期良好运行，提高医院信息系统的专业化维护水平。山东大学齐鲁医院在更换医院信息软件，进行医院数字化建设招标时，就提出了托管的要求。不但要选择数字化建设的合作伙伴，还同时选择负责医院信息系统的维护服务托管的合作伙伴。

选择的维护服务托管公司条件是：具有开发先进的医院数字化管理软件系统的优势，具有对于医院的业务十分了解的专家，能够提供优秀的软件系统，完成医院的数字化建设，能承担医院信息系统的建设和维护工作；

通过多方面的考察、软件的测试和招标，山东大学齐鲁医院选择了一家医院信息化建设专业公司作为合作伙伴，进行数字化医院建设，并对齐鲁医院的信息系统的维护服务进行全面外包托管

2.2医院对托管工作的要求

2.2.1对医院信息系统进行全面维护服务，保证信息系统的长期稳定运行

2.2.2若医院信息系统的硬件（网络）、软件出现问题，能及时作出诊断，提出合理的解决方案，解决问题；并及时排除医院信息系统软件、硬件运行的故障，保证医院信息管理系统硬件（网络）和软件正常、稳定、安全运行。

2.2.3负责信息系统的备份，包括自动备份和定期备份。

2.2.4对医院人员使用软件进行技术指导,并对医院人员（新增、进修人员）进行补充技术培训；

2.2.5协助制订医院信息管理系统建设实施规划和各种内部医院信息管理系统

管理制度。

2.2.6负责定期医院信息管理硬件、软件（操作系统和数据库）的工作状态、性能进行评估，并出具评估报告给医院。

2.3医院信息系统外包托管需要注意的问题

2.3.1医院必须与托管公司签订合同，明确规定托管双方的责、权、利；

2.3.2医院必须作好原有信息科人员的安排问题；必要时，托管公司可以接收受医院因托管需要减少的信息维护人员。

2.3.3医院和托管公司都需要制定托管制度，加强监督管理。

2.3.4托管公司必须协助医院制定应急预案，负责的应急预案演练、实施；

2.3.5托管公司必须严格保证医院的数据安全，保守医院的营运机密和商业秘密。

2.3.6托管公司应保持相关维护人员的稳定, 如有变化应提前通知医院。

3、医院信息系统外包托管的实践

山东大学齐鲁医院（以下简称：委托方）委托四川银星软件有限公司（以下简称：受托方），负责委托方医院信息系统的软件（应用软件、操作系统和数据库）、硬件和网络的全面维护服务工作。托管工作已经进行了近两年。在托管工作实践中，我们认为以下管理工作十分重要。

3.1 托管工作必须遵循的原则

3.1.1责任制原则：

托管期间，根据《医院信息系统委托管理制度》的规定，落实维护管理和服务工作的责任。托管与被托管双方实行“委托方监督，受托方执行”的原则。对重要操作的授权和执行，履行双重签字的程序。

3.1.2规范化原则

托管期间，委托方信息管理应采取流程化、规范化的管理模式，双方应严格按照托管合同的规定执行相应规定和流程。对托管合同未做规定的，双方协商制定相关制度，实行规范化管理。

3.1.3防范风险原则

托管期间，各方必须防范各种风险，保证信息系统的正常运行。

3.1.4 报告制度原则

托管期间，各方应按照有关规定，实行严格的报告制度。

3.1.5保密原则

受托方应保守委托方的数据和商业秘密；委托方应保守受托方的技术和商业秘密。

3.2 托管工作组织设置和职责划分

3.2.1托管工作组织设置

委托方应设立托管监督管理组，有专人负责管理、监督、协调托管工作。受托方应在委托方设立托管技术服务组，有专人负责被托管信息系统的现场技术维护服务工作。委托方的托管监督管理组，与受托方的托管技术服务组，必须各司其责，互相配合，完成委托方的信息系统管理和维护工作，保证信息系统的正常运行。

3.2.2委托方的主要职责：

负责制定委托方信息系统的管理制度，对托管工作进行总体安排、部署、协调；负责对受托方的托管工作进行监督和考核；委托方必须对受托方的工作提供必要的支持，并负责系统运行有关委托方部门和人员的协调、安排等非技术性的工作，保证24小时响应受托方的报告。负责对信息系统中出现的风险事项进行风险评估、提出应急预案，并对发生的风险事项及时研究处理；负责对被托管的信息系统的资产、文档、合同、数据、资料进行管理；为受托方托管提供硬件、软件和管理条件。

3.2.3受托方的主要职责

负责完成托管合同规定的托管工作，接受委托方对托管工作的管理和监督；

负责委托方被托管的信息系统的日常运行的维护服务和技术支持，保证24小时

开展托管工作；负责委托方被托管的信息系统数据的完整性和数据备份工作；负责委托方被托管的信息系统的安全防范，防、查、杀病毒管理工作；对委托方人员进行技术指导和技术培训；协助委托方制定应急预案，负责的应急预案演练、实施；若被托管的软件、硬件或网络出现问题或故障，受托方应及时作出诊断，提出合理的解决方案，报告委托方，并及时处理故障和解决问题。

3.3 必须作好托管的准备工作

3.3.1委托方的主要准备工作

组建托管管理监督组，对托管工作进行总体安排、部署；完成相关管理制度《医院信息系统委托管理制度》和文档的准备，完成需托管的软件、硬件和网络有关资料的准备，包括：《信息组织管理及人员情况表》、《信息系统情况表》、《网络配置明细情况表》、《系统整体情况表》等相关技术资料。为受托方托管工作准备工作场所等必要的管理条件；与受托方签订合同。

3.3.2受托方在准备期应做好以下工作

与委托方签订合同，成立技术服务组，并明确托管工作职责及要求；协助委托方制定托管工作管理制度、托管工作流程、交接清单等；获取与托管相关的软件、硬件和网络的资料：对被托管的信息系统进行摸底调查，要求委托方提供《信息组织管理及人员情况表》、《信息系统情况表》、《网络配置明细情况表》、《系统整体情况表》；必要时，受托方应与相关信息系统供应商取得联系，获取相关技术资料。

3.4 托管的交接工作很重要

3.4.1管理交接

3.4.1.1人员交接：双方向对方介绍交接方案，明确双方人员的职责及托管工作要求。

3.4.1.2管理制度交接：双方应向对方公布托管工作要求和制度，说明托管工作管理制度中未涵盖的内容，双方应签字确认《医院信息系统委托管理制度》。3.4.1.3核对系统管理情况：双方应逐一核对被托管信息系统的管理情况，完成《信息系统管理情况登记表》。

3.4.2系统交接

3.4.2.1软件备份和交接：委托方应向委托方提交接管当日对被托管的信息系统的操作系统、应用系统、防病毒系统、数据库系统等软件和数据的全部备份，并保证备份的完整性、可读性。

3.4.2.2硬件设备清查交接：应根据委托方固定资产台账，由托管双方共同对被托管的硬件设备和网络线路进行清查，清查时应记录设备状况、信息系统设备清单所用系统及存放地点，设备价值,保管人。

3.4.2.3密码交接：密码交接应包括被托管的操作系统、数据库、应用软件系统、防病毒系统的超级用户密码，服务器、磁盘阵列、交换机等网络设备的管理密码，及应用软件系统用户密码的交接,并进行相关测试，确保密码的管理功能。

3.4.2.4技术资料交接：委托方向受托方提供技术资料至少应包括以下各项：系统运行维护日志、应急预案、各系统技术文档、网络布线及配置文档；信息系统各系统运行维护文档；各系统开发商、设备供应商、电信、电力、总务等单位的联系方式。

3.4.2.5核查历史数据：检查委托方自系统建设至今的所有历史数据的备份情况，包括存放位置及备份方式，并对备份数据进行有效性、完整性、连续性检查，填写《交接日历史数据备份登记表》。历史数据原则上由委托方保存；

3.4.2.6系统安全检查交接：对被托管系统有关的安全设备、管理进行检查，若有潜在的安全风险，提出整改方案，在规定时间内委托方完成。委托方信息技术人员必须进行一次全网病毒查杀。

3.5 托管管理工作制度要点

委托方和受托方必须共同建立托管工作管理制度，并严格遵守，其要点是：3.5.1双方人员都必须严格遵守托管管理制度和信息系统的操作规程，操作用户须专人专用，严禁越权操作，操作密码应定期更换，并满足密码强度的要求。受托方必须完善规范化的日常操作流程，关键操作建立复核机制。操作系统和数据库必须尽量启用系统软件提供的安全审计留痕功能，并记录好运行日志

3.5.2受托方必须作好系统和数据备份，包括建立关键系统的配置和变更文档，及时作好参数备份，确保系统运行环境的可恢复性。

3.5.3各岗位操作权限应根据岗位职责严格按最小化原则进行设置，并定期进行检查修改。

3.5.3委托方不得擅自删除、修改数据和文件。受托方对委托方运行系统的数据的进行必要的修改、删除前，必须以书面方式报告委托方管理人员，在得到委托方管理人员同意后，方可进行修改、删除。并作好修改、删除记录。

3.5.7委托方应定时对委托方的信息系统进行风险评估，形成信息系统整体风险评估报告，并提供给受托方。风险评估报告应包括对信息系统管理、运行状况、安全措施及技术管理状况的评估。

3.5.8受托方应定时对信息系统运行状况作出的评估报告。包括对关键设备：服务器、磁盘阵列、交换机、工作站等设备的运行工作情况、性能状况进行评估；对故障应急处理能力:已有的应急资源、应急能力进行评估；对技术管理状况：委托方的管理制度、工作流程、技术资料、人员分工及现有系统用户使用情况进行评估。

3.5.9委托方和受托方必须科学应对信息系统突发故障事件，建立健全信息系统故障应急响应机制，有效预防、及时控制和最大限度地消除突发故障事件的危害和影响。委托方应制定信息系统故障应急预案；受托方必须负责协助应急预案的制定，负责对应急预案的演练和故障应急处理的实施工作。应急预案应涵盖委托方各信息系统的所有关键环节可能发生的故障，且须重点考虑供电系统、服务器系统、磁盘阵列、交换机、网络系统、数据备份等。应定期根据应急预案进行专项培训、演练，以不断提高故障判断及故障处理的快速反应能力，力争将故障的影响和损失降低到最小程度。。

3.5.10信息系统发生故障时，受托方应在第一时间向委托方报告；委托方管理监督组必须到现场对应急预案的处理全过程进行监督检查。信息系统发生故障时时，应及时按预定分工密切配合，尽快按应急预案处理；如应急预案中未涵盖该故障的应急处理方案，由双方临时制定应急预案，并组织执行。故障处理完成后，受托方必须填写《系统故障登记表》备案，会同委托方召开故障讨论分析会，分析故障原因，进行综合评估，提出相应的纠正和改进措施。

4、医院信息系统外包托管的效果

医院信息系统是医院运行和管理的神经系统，是医院管理最重要的工作之一。山东大学齐鲁医院实施近两年的医院信息系统维护管理服务外包托管，取得了良好的效果。提高了医院信息系统的专业化维护水平；提高了医院的网络、

硬件、软件的运行保障水平；降低了维护管理费用；对于医院信息化建设的持续发展，对于医院数字化信息系统运行的保障体系建设，对于国内医院信息系统厂商的发展，都具有重要意义。

定义、符号、缩