医院信息系统运维环节风险控制

[摘 要]随着信息技术的快速发展，医院信息化建设已初具规模，各大医院的信息系统已经投入使用，为医院的各项工作提供有力支持。但由于信息系统的复杂性和网络的开放性，医院信息系统的使用也给医院带来了许多风险问题，特别是在运维环节，产生风险的因素较多，造成的影响较大，因此对医院信息系统运维环节的风险控制进行研究是十分必要的，是确保医院信息系统能够稳定运行的关键。本文将对医院信息系统运维环节进行简单介绍，分析其风险形成的原因，并对其风险识别和风险控制提出了几点建议。

[关键词]医院；信息系统；运维环节；风险控制

doi：10.3969/j.issn.1673 - 0194.2017.06.104

[中图分类号]F270.7；R197.3 [文献标识码]A [文章编号]1673-0194（2017）06-0-01

医院信息化建设近年来取得了长足进步，改变了传统的医疗管理和信息管理模式，极大地提高了医院的工作效率，为医院带来巨大的经济效益和社会效应。医院信息化建设已成为提高医院竞争力的主要因素。医院信息系统的运行维护与系统开发具有同样重要的地位，是保证医院信息系统能够稳定运行的关键。但在运维环节中，往往面临着许多风险，会对医院信息系统的实际使用产生较大影响，且医院信息系统运维环节的风险控制是困扰运维管理人员的核心问题。

1 医院信息系统运维环节的简述

医院信息系统的开发和使用主要包括系统设计与开发、应用软件开发、系统测试和系统运维等几个环节。其中，运维环节是对已经完成建设并投入使用的信息系统的软件、硬件、网络环境等多方面进行维护的过程。运维人员、运维技术、运维流程是运维环节的三个基本要素，对运维环节都有重要影响，三者相互结合、相互制约，共同完成医院信息系统的运维工作。运维人员是运维工作的主体，包括运维支撑中心的各级员工。运维技术是在运维过程中采取的各种系统监测、控制手段。运维流程则是系统运行维护的全过程，包括业务需求响应流程、故障处理流程等。医院信息系统的运维目的是保证系统安全稳定运行，为医院的各项业务提供可靠支持，保证系统运行的高效性。

2 运维环节的风险成因

运维环节的风险主要可以分成两类，一是管理类风险，二是技术类风险。管理类风险主要是由于各部门之间缺乏协调配合、具体人员的责任不清而产生的。虽然专职的运维人员都是由专业信息技术人员组成的，但是运维故障往往不是单纯的技术性问题，需要多个部门人员协调配合，共同解决。但由于运维责任没有明确分配，各部门人员与专职的运维人员缺乏沟通配合，容易出现责任推诿的现象，即使问题很容易被解决，但由于人员的拖拉，风险问题的解决往往会被长时间拖延，以至于影响到医院信息系统的正常运行。

技术类风险的成因有很多，比如软件与硬件不配套、网络故障、软件更新落后、系统漏洞等，在医院信息系统的运维环节中，技术类风险是不可避免的，可能出现于核心机房设备、站点硬件设备、医疗、医药软件系y和计算机操作系统等各个方面。究其原因，一是信息技术在不断发展，技术风险也不断涌现；二是缺乏详细的安全预案和有效的应急措施，还未能做到对运维风险的有效控制。

3 运维环节的风险识别

对医院信息系统运维环节的风险进行有效识别，是实现风险有效控制的前提。为了对可能面对的风险进行识别，首先要对医院信息系统运维环节的风险进行分类，并明确其特点和可能发生的阶段。管理类风险包括责任风险、制度风险、质量风险、人员管理风险以及项目组织结构风险。其特点是贯穿于运维环节的整个过程，具体可能发生在责任分配、成员确定、主动巡检、故障受理、资料收集、日志记录、系统彻查、所报部门反馈和维护情况审定等阶段。技术类风险主要包括软、硬件风险、网络风险、系统风险、数据保密风险、病毒风险和操作风险等，其特点是集中体现于故障处理和日常维护的各个环节，具体可能发生在故障处理、软件升级、硬件保养等阶段。本文主要研究运维环节技术类风险的控制措施。

4 运维环节的技术类风险控制

4.1 编制技术风险控制手册

为实现技术风险的有效控制，应编制技术风险控制手册，明确技术风险控制的主要目的，即监控风险、找出风险、分析风险以及处置风险，将风险对医院信息系统可能造成的影响降至最低。明确技术风险控制的管理方针，以预防为主、监控为辅，实行风险预防策略和风险减轻策略。根据运维实际情况建立风险控制目标，保证其适用性和有效性，对风险控制进行量化规定，为具体的风险控制工作提供依据。

4.2 建立技术风险程序

分别建立技术风险监控程序、技术风险处置程序和技术风险应急程序。风险监控程序主要是指风险预警系统，对可能出现的风险进行超前管理，及时发现风险出现的征兆，发出预警信号，避免风险引发的不可控后果。风险处置程序包括物理环境、网络平台、主机系统、应用系统以及数据安全的风险处置，具体包括对核心机房、站点设备的管理维护、对网络访问权限的控制机边界安全的控制、对主机操作系统安全和数据安全的防护、对用户数据的保护和通信保密、对数据存储安全和数据完整性的验证等控制措施。

4.3 建立技术风险辅助措施

对技术风险的有效控制也离不开辅助措施的实施，应完善风险责任制，将技术风险控制责任落实到个人，并赋予其相应的资源和权利。制订相应的风险控制时间计划，确保行动的及时性。建立风险信息报告制，搜集风险控制工作信息，向管理人员报告风险控制水平。建立风险案例库，累积风险控制经验，促进风险控制能力的提升。

5 结 语

医院信息系统的运维环节面临着多种风险因素，医院必须要做好风险控制工作，才能保证医院信息系统的稳定运行。本文首先对运维环节进行了简单介绍，对运维环节的常见风险及形成原因进行了分析，并提出了几点风险控制的建议，希望能起到一些参考作用。

主要参考文献

[1]王跃忠.四平地区医院信息安全保障问题分析及对策研究[D].长春：吉林大学，2015.