黄昊：第三方合作的风险管理

　　医院在开展信息化建设时，涉及到与第三方单位的合作。“第三方是医院之外的组织机构，不限于科技公司，比如相对医院而言，卫生健康委、医保局、银行都算是第三方。”陆军特色医学中心信息中心主任黄昊在CHIMA 2024演讲时指出，在进行风险管理时必须把第三方纳入统一管理，进行风险识别和评估，以确保风险可控。

加强外包风险管控

　　当前，外包服务已成为医院信息化建设中不可或缺的一部分。对此，黄昊认为，软件外包服务在提供灵活性和成本效益的同时，也可能带来一系列安全风险，主要源于外包服务商的安全实践不足、文化差异、法律法规的不同，以及医院对服务商缺乏足够的监督和控制。为更好地管理和缓解软件外包服务带来的安全风险，黄昊建议采取以下措施：“选择信誉良好、有强大安全措施的外包服务商；在合同中明确安全要求、保密协议和合规标准；定期对服务商进行安全审计和风险评估；确保与外包服务商之间的通信是安全和加密的；对服务商进行背景调查，包括其员工和分包商；实施强有力的访问控制和身份验证措施，以保护数据和系统；建立清晰的沟通渠道和工作流程，以减少误解和沟通障碍。”

　　黄昊谈到，安全管理中有一个理论叫木桶效应，它是一种强调系统思维和均衡发展的理念，要求我们在分析问题和解决问题时，考虑到所有相关因素，尤其是那些可能成为制约瓶颈的因素。

　　在黄昊看来，外包服务安全风险点主要有远程服务风险和驻场服务风险，分别体现为开发服务风险、项目管理风险、系统管理风险、维修服务风险、网络运维风险、行政管理风险、数据安全风险。他进一步指出：“在实践中，可制定风险管理框架。它的目的是协助组织将风险管理纳入重要的活动和职能中，风险管理的有效性取决于其与组织治理及决策制定的整合情况。”

　　风险管理框架设计很重要的一点是识别利益相关者，在识别风险时，不仅要考虑整个项目，还要将它放在医院整体信息化和管理框架中，进行系统化设计。黄昊表示：“整体框架由框架、原则和流程三部分构成：框架内包含整合、设计、实施、评估和改进等方面；原则主要是整合，进行全面和结构化系统化设计，同时考虑持续改进；流程主要指风险评估、识别、评价和应对等过程。”

　　在具体实践中，可根据详细情况进行分析。比如在评价风险时，可根据组织设计和实施风险管理框架的目的、实施计划、绩效指标和预期表现效果，定期分析风险管理框架的实施效果，并确定风险管理框架是否仍适用于支持组织目标的实现。识别风险时需要认真考虑不确定性，有一些风险无法在评估过程中识别，此时需建立应急预案机制。黄昊强调：“同时，我们要关注风险的相互依赖关系，这是风险管理中的一个重要方面，了解和处理这些关系对于制定有效的风险分析和应对策略至关重要。”

识别风险常用管理工具

　　黄昊介绍，在工作中，识别风险常用的管理工具主要有头脑风暴、故障模式与效应分析(FMEA)、鱼骨图、故障树分析、风险评估等。

　　1.头脑风暴。通常在团队环境中进行，鼓励参与者自由发挥，提出尽可能多的想法，而不对这些想法进行立即的评估或批评。关键在于创造一个开放和支持性的环境，让每个人都能自由地贡献自己的想法。该方法的优点体现为自由流畅、团队协作、激发创新等方面，缺点为质量不一、可能存在主导者、时间消耗等。

　　2. 故障模式与效应分析(FMEA)。这是一种系统化方法，用于识别产品、过程或服务中潜在的故障模式，并评估这些故障对系统性能的潜在影响，以便采取适当的预防措施，其目的是在故障发生之前识别并消除或减轻可能导致产品或服务失效的因素。它的核心原理体现为前瞻性、团队合作、系统分解和风险评估。

　　3.鱼骨图。这是一种用于系统地列出和组织导致特定事件或问题出现的所有可能原因的方法，得名于其外观类似于鱼的骨架，是一种有助于团队识别和解决问题的视觉工具。它的主要原理是系统思考、根本原因分析、团队合作、可视化，它是一种强大的工具，可以帮助团队系统地分析和解决问题，但它依赖于团队成员的知识、经验和创造力。正确使用鱼骨图可以提高问题解决的效率和效果。

　　4.故障树分析。这是一种自上而下的图形化演绎分析方法，用于识别和分析导致一个不希望发生的事件(顶事件)的所有可能原因。它的核心原理主要是系统性、层次性、逻辑性、定量与定性分析。这是一种强大的工具，可以帮助工程师和决策者理解复杂系统的故障模式和潜在风险，从而采取有效的措施来提高系统的安全性和可靠性。

　　5.风险评估。这是识别、分析和评价风险的过程，以确定如何管理或降低这些风险。进行有效的风险评估对于保护组织免受潜在威胁和损害至关重要。它的一般步骤是识别资产和资源、识别威胁和脆弱性、分析风险。

　　黄昊以医疗行业实施数据分级分类为例，介绍了如何加强数据管理。在医疗行业，实施数据分级分类通常涉及以下步骤：确定数据管理范围、建立组织保障、制定分类分级标准、数据资产发现、实施安全措施、监控和审计、持续改进等。“这些步骤有助于确保医疗数据在收集、存储、处理和共享过程中的安全性和合规性，从而保护患者隐私和医院数据安全。”黄昊强调。

　　在医疗信息化工作中，加强供应链安全，防范被攻击，是网络安全领域的一项重要任务。对此，黄昊指出，可采取提高软件安全性、加强供应链管理和监控、以及提升安全意识和应急响应能力等综合措施。在他看来，提升医疗软件质量可采取以下措施：制定适合医疗软件行业的强制性标准；建立医疗软件的质量与安全性评估标准；建立全生命周期的质量监管体系；建立一整套的软件质量管理规章制度；建立医疗软件的召回制度和不良事件通报制度等。

　　在加强医疗信息化风险管控方面，黄昊给出了如下建议：“管事情更要管人；定期的风险评估很必要；在工作中，要体系化、系统化推进风险管控；必要的工具将提高管控能力；信息中心需要发挥好管理职能，服务可以外包，风险无法转移；将外包服务与费用支付挂钩，提升第三方主动性。”