信息系统外包预案

信息系统外包预案（共8篇）

1.信息系统外包预案 篇一

外包施工人员信息管理系统——使用说明

一、操作说明(必须在外网机上操作)1.解压；

2.双击应用程序“QRCodeMana”文件，进入管理系统；

3.点击“用户”，选择“用户登录”，进入登录界面；

4.输入“用户名”和“密码”，进入系统；

5.点击“注册管理”，选择“用工注册申请”，进入注册录入界面；

6.点击“增加”，进入“增加用工记录”界面；

7.在“增加用工记录”界面填入对应的所有信息并保存，即完成1条记录；

8.继续点击“增加”，重复步骤6-7完成所有信息录入，下图为嘉鱼公司录入情况。

二、录入注意事项及要求

1.要求录入所有外包人员，包括项目部和现场施工队班组成员； 2.信息录入要求真实全面；

3.注册系统“施工单位名称”下拉选项框中，没有的施工单位请及时报给咸安安监；

4.要求在下周一即2016年2月29日之前完成所有信息录入； 5.有疑问致电咸安安监

尹球洋1597511845；江兴无 682820

三、管理员帐号和密码 1.帐号zhangt 密码1 2.帐号yinqy

密码1

2.信息系统外包预案 篇二

近年来, 在国家信息化建设飞速发展的大背景下, 部队的信息化建设也得到了快速发展, 在部队各个领域, 信息系统大量投入使用。早期部队信息系统的开发和建设都是由部队内部科研单位来完成的, 但计算机技术的快速发展, 新技术的不断涌现, 以及部队科研人员编制缩减等, 导致部队自身信息系统建设力量不足。为了充分利用地方计算机公司 (用友公司、浪潮公司、清华同方、中电十五所等) 成熟的技术力量, 节省开发成本, 缩短项目周期, 保障部队训练和作战等工作任务顺利进行, 部队各个业务领域的信息系统建设要慢慢转向市场采购及外包。

信息系统外包 (Information Systems Outsourcing, IS外包) 是指将一个组织的部分或全部IS职能交给外部服务IT企业来运作。根据高德纳资讯公司 (Gartner) 的预计, 全球IT外包市场将从2003 年的1 805 亿美元收入, 增长到2008 年的2 531 亿美元收入, 年复合增长率为7.2%。目前, 部队各个领域也将自己的信息系统建设外包给成熟的第三方IT企业, 将其不擅长的部分交由成熟的IT企业来完成, 将主要资源和精力投入到主体业务中, 以节约人力、物力等成本。具有专业信息系统管理和运营维护经验的IT企业, 会提高IT外包服务的质量与水平, 优化其管理和业务流程。

信息系统外包为部队带来效益的同时, 也带来了风险, 如谈判机会主义、项目管理难度增加、部队涉密信息泄露、IT企业“敲竹杠”、道德风险等。因此, 部队要透彻分析自身的能力和期望获得的外包优势, 并且考察选择合适的IT企业, 建立合理的委托、代理机制、监控体系, 加强与IT企业的合作, 使外包关系有助于提高部队各方面效益。

2 部队信息系统外包的风险分析

2.1 部队信息系统外包的模式

部队信息系统外包, 是指部队借助外部技术力量进行信息系统开发和建设的方式。部队通过信息系统的外包, 有效利用外部的信息技术资源, 达到降低成本、提高效率和控制风险的目的。根据部队信息系统外包过程中涉及到的用户和IT企业, 信息系统外包关系可分为以下几种模式。

2.1.1 一对一的外包关系

这种模式是指一个用户只与一个IT企业合作, 该IT企业在特定领域有其独特的产品优势或专业知识优势, 具有其他IT企业无法代替或取代的优势。典型的企业有IBM国际商业机器公司、Oracle公司等。

2.1.2 一对多的外包关系

这种模式是指一个用户与多个IT企业合作, 用户将利用各个企业擅长领域的信息服务。一个用户对多个IT企业有利于用户获得利益最大化, IT企业之间存在相互竞争的关系, 同类系统的外包可以择优选择。此外, 由于竞争关系的存在, 会提高外包服务质量, 。

2.1.3 多对多的外包关系

这种模式是指多个用户与多个IT企业合作, 多个用户与多个IT企业进行合同谈判, 也可采取招投标的方式, 价低者得。用户划分不同层面的需求, 按照IT企业的优势, 选择合适的企业进行外包。例如:银行业系统的外包, 核心系统有选择的外包, 外围系统外包给多个企业。

2.2 部队信息系统外包风险的种类

国内外许多学者、机构都对IT外包的风险进行了研究, 并提出了IT外包风险的识别和分类, 例如, Bahli (2005) 根据交易成本理论将风险分为承包商风险、交易风险和客户风险三类, Kliem (1999) 认为软件外包风险来自财务、技术、管理、行为及法律五个方面, Earl (1996) 识别出了与外包相关的11 种风险等。

2.2.1 用户技术不足, 导致的外包依赖风险

该风险主要是指用户自身信息系统管理和研发力量的不足, 在外包信息系统出现故障, 不能有效进行维护时, 造成对外包公司的过度依赖。过度依赖造成了部队不能掌握外包信息系统所使用的技术框架、技术体系及系统的实现细节等信息, 使部队在后续合作过程中处于被动地位, 信息不对称造成了合同议价的不平等。

2.2.2 业务不断变化, 造成的需求分析风险

该风险主要是指业务需求与信息系统不一致导致的信息系统重新设置而增加预算成本的风险;IT企业缺乏安全意识, 泄露企业机密信息的风险;业务流程与信息系统不配套导致的信息系统重新开发、延长工期而增加项目预算的风险。

需求分析是信息系统开发过程中的重要环节, 需求分析的好坏是信息系统开发成功与否的关键因素之一。由于承包方多是专业的软件公司, 他们对部队的运作方式与业务需求并不熟悉, 因此, 承包方的需求分析不符合部队业务要求是经常出现的情况。

2.2.3 IT企业自身管理上的风险

主要是指选择的IT企业自身管理上的一些问题, 包括企业管理风险、合同管理风险、人员调配风险等。IT企业的好坏取决于它的人力资源、业务知识、技术储备、信用度、经营能力等。错误选择IT企业会使企业项目预算增加、成本增加。在信息外包的情况下, 用户要加强对IT企业的监督, 避免发生上述风险。

2.2.4 部队与IT企业签订合约的风险

合约风险是信息系统外包中最常见, 也是最重要的, 主要发生在签订合约后, 由双方信息的不对称、故意隐瞒等情况造成合约风险。由于信息系统外包存在较多不确定性, 因此, 会出现不同的风险。归纳为两条主线:一条是因信息不对称导致的系统性风险;另一条是因信息技术落后导致的技术风险。

2.2.5 内部及涉密资料泄露风险

在外包活动中, 承包方一般会接触到部队的部分内部资料或涉密资料, 这就存在内部及涉密资料泄露风险。

3 部队信息系统外包的对策研究

3.1 建立部队内部的IT技术总师机构

邀请部队内部的业务领域专家和IT技术专家, 建立技术总师机构, 对外包IT企业、项目进行评估和考核, 总师机构可以追踪和评价部队所需要的信息技术, 也可准确地确定部队对不断发展变化的IT需求, 并且采用正确的方法来利用外包企业、规范和管理IT资源以及处理合同关系。

3.2 选择合适的信息系统进行外包

用户需要选择那些需求明确、业务规范、流程规范的信息系统进行外包, 要尽量控制外包的规模, 不要一味地提出快速和大而全的解决方案, 要分阶段地作好规划, 按部就班地实施。

3.3 选择合适的IT企业, 确定合适的技术路线

选择IT企业时应主要考虑以下因素, 即项目报价、专业实力、项目管理水平、商业信誉、有无成功案例等。优先使用用户熟悉的IT企业和信息系统开发所使用的技术路线, 成熟和熟悉的技术路线, 可以避免或降低系统在实施阶段的风险, 避免用户对外包IT企业的过分依赖, 导致的信息系统维护方面处于的被动地位, 为信息系统的顺利实施奠定基础。如果遇到合适的外包IT企业, 应尽量与其建立长期的合作关系, 结成战略性合作伙伴。

3.4 签订详细明确的外包协议

协议中应该对最终系统的功能性指标和非功能性指标有明确规定, 还要对双方的权利和义务、项目进度、付款方式、保密内容、项目验收、后期维护以及违约处理等条款进行明确规定。

3.5 进行规范严格的项目管理, 并纳入质量管理体系

将总师机构的领域专家纳入项目管理团队, 采用科学的项目管理方法, 制定切实可行的项目计划, 坚持对项目进行进度评估, 保持与外包企业之间的有效沟通, 并按照部队质量管理体系的要求约束项目开发, 对项目实施的全过程进行跟踪, 保证项目实施的顺利进行。

4 结语

部队在进行信息系统外包活动时, 部队通过总师机构的专家团队, 对需要外包的信息系统进行充分调研和论证, 选择合适的信息系统进行外包, 选择合适的外包IT企业, 规范信息系统外包的实施流程, 按照部队质量管理体系的要求对外包信息系统进行管理约束, 争取将信息系统外包的风险降到最小。信息系统外包是部队和外包IT企业互相信任、高度协作的共同行为, 要与外包IT企业建立长期合作和双赢的战略同盟。在利用好外部力量的同时, 还要保持和提高部队自身信息系统建设的能力, 用发展的眼光来看, 部队信息系统的建设还是要依靠内部技术力量来完成。

摘要：在信息系统外包过程中, 存在诸多风险, 因此, 分析部队信息系统外包过程中存在的风险, 并找到相应的解决办法尤为重要。根据部队信息系统的外包现状, 分析存在的风险, 提出规避风险的措施, 确保信息系统外包项目的成功。

关键词：信息系统,外包,风险

参考文献

[1]Grover V, Cheon M J.The Effect of Service Quality and Partnership on the Outsourcing of Information Systems Functions[J].Journal of Management Information Systems, 1996 (4) :89-116.

[3]陈光欣.高校信息系统外包的风险及对策研究[J].中国教育信息化, 2009 (11) :4-6.

[4]江兵, 夏晖, 刘洪.企业信息技术外包的策略分析[J].管理工程学报, 2002 (2) :38-41.

[5]杨俊英, 林鹏.企业信息系统外包风险[J].经营与管理, 2013 (12) :48-49.

[6]余沁园.信息系统外包研究[D].重庆:重庆大学, 2002.

[7]李大为, 刘飞飞, 李薇薇.信息系统运行维护的八大意识[J].中国信息界, 2011 (3) :56-57.

[8]张笑楠, 仲秋雁.国内外信息技术外包研究现状分析[J].情报杂志, 2010 (10) :68-73.

3.信息系统外包预案 篇三

随着信息技术的发展，越来越多的企业开始利用信息技术为其生产经营服务，信息系统的建立与维护成为企业活动的一个重要组成部分，其重要性日益显著。但是，企业的资源是有限的，大部分企业特别是中小企业不具备独立开发与维护信息系统的能力，信息系统外包为企业提供了一种以有限能力和较低投入开发与使用信息系统的途径。

一、外包的经济性质

生产资料的获得有两种途径——市场与企业。假设经济运行处于下述理想状态：生产资料市场完全信息，不存在规模经济与学习效应，同行业企业管理水平、技术能力、员工素质、资本成本相同，这时，通过市场与自身两种方式获得生产资料的成本是相同的，不存在决策的选择问题。但现实并不如此：市场信息不对称造成交易成本的产生，即市场交易费用。规模经济与学习效应使生产成本受企业的规模及生产经验的影响；同时，企业选择自制的投资成本也是决策考虑的重要因素。

外包是企业通过将部分业务出包给其他单位，实现整合利用其外部最优秀的专业资源，从而达到降低成本、提高效率、充分发挥自身核心竞争力和增强企业对环境迅速应变能力的一种管理模式。外包是市场与企业的综合。一方面，在签订外包合约前，企业与外包商可以在开放的市场上相互选择；合约签订后，外包商也是独立于企业的生产经营个体，所以外包有市场性质。另一方面，虽然表面上是企业向外包商购买产品和服务，但企业对外包商的生产有监督权，对其生产经营活动有一定影响力，因此，外包又有企业性质。

二、外包的收益和成本

外包具有市场的优点。它使企业可以利用外包商规模经济与学习效应的优势，以低于自身生产成本的价格取得产品或服务；外包使企业不进行大量初始投资而获得所需，可以将资源集中到自己的优势项目，发展核心竞争力；外包还可以将部分风险转嫁给外包商，从而降低企业经营风险。同时，外包具有企业优点——降低交易费用，通过外包，企业可以取得因交易成本过高而不可能直接由市场获得的产品或服务。

外包给企业带来收益的同时，也带来了相关的成本。外包具有市场性质，而市场信息是不对称的，这就决定了外包的交易成本；外包具有企业性质，为监督外包商的活动，企业要支付监督管理费用，同时要承担外包商违约的风险，这就是外包的代理成本。威廉姆森把交易成本规定为利用经济制度的成本，其本质相当于物理学中的“摩擦”这一定义，他将交易成本分为事前交易成本和事后交易成本。本文中的交易成本指事前交易成本，代理成本即事后交易成本。企业对这两种成本的支出应根据外包项目的实际情况进行选择，以使交易成本与代理成本之和达到最小。

三、信息系统外包的成本分类

从广义上讲，信息系统外包(IS Outsourcing)是指借助外部力量进行信息系统开发、建设的信息系统建设方式。详细说，就是企业在规定的服务水平基础上，将全部或部分支持生产经营的信息系统作业，以合同方式委托给专业性公司，由其在一定时期内稳定地管理并提供企业需要的信息技术服务的行为。企业通过外包，可以整合利用外部最优秀的信息技术资源，从而达到降低成本、提高资金利用效率、充分发挥自身核心竞争力和控制经营风险的目的。根据第二部分对成本的分类，信息系统外包的成本包括交易成本和代理成本。

（一）交易成本

交易成本指的是准备并实施协商谈判所需的各种资源的使用包括，确定外包范围的成本，获取有关的市场价格信息及筛选外包商的成本，制定、谈判以及签订合约的成本。

１．确定外包项目的成本

在做信息系统外包决策前，企业首先要对自身的业务进行全面的了解，根据项目对企业生产经营的重要性确定外包的范围、质量要求及外包程度。

２．获取有关的市场价格信息及筛选外包商的成本

确定外包项目后，企业要对IT服务市场进行调查，并进行项目招标，权衡外包服务的价格、信誉、质量，对外包商进行综合评价。选择具有良好资质的外包商是外包项目成功实施的前提。

３．制定、谈判以及签订合约的成本

企业按既定的外包项目及其价格、质量方面的要求设计合约，与选定的外包商进行谈判，最终达成一致，签订合约。一份详细周密的合约是外包项目成功实施的保证。

（二）代理成本

在外包项目实施过程中，由于企业与外包商信息不对称、利益不一致而导致了代理问题的产生，由此引发了监督成本和失控成本，合同变更和沟通成本，信息外泄的成本。

１．监督成本和失控成本

监督成本指为了避免在项目实施过程中，外包商为实现自己利益最大化不按合约行事而损害企业利益，企业对外包商的行为进行监督而花费的成本。失控成本指外包商违反合约而给企业带来的损失。

２．合同变更和沟通成本

企业对信息系统的要求不是一成不变的，它随着市场条件等外部环境及企业经营战略等内部环境的变化而调整。信息系统外包项目的变更需要企业与外包商进行协商，由此导致沟通成本以及合同变更成本的产生。

３．信息外泄的成本

企业将信息系统外包后，财务、市场、生产、技术等诸多信息都暴露给外包方，如果外包商将这些信息外泄给企业的竞争对手、客户、债权人等利益相关者，会给企业带来重大不利影响。信息外泄的成本是企业承担的由于信息外泄导致损失的风险。

四、信息系统外包不同类型的成本分析

根据外包的程度与范围，信息系统外包可以划分为软件外包、系统外包和业务外包。

（一）软件外包

企业选择软件外包时，应用软件系统由外部公司开发，信息系统的硬件和网络的建设、使用及维护都由企业自行完成。具体又可分为三种类型：购买市场上的通用应用软件；购买通用的成套软件，同时要求供应商根据本企业的要求进行某些修改；要求外包商为本企业开发一个完整的能满足其业务需求的全新的信息系统。

由于购买一次完成，外包商的后续服务占整个外包项目的比重极小，这种外包类型的代理成本最小。但是，由于信息不完善，企业对软件的实际价值掌握不准确，交易成本较高。而且，企业需要投入一定的资金及技术力量建设与支持信息系统的运行，不能发挥外包的优势。此种类型外包的适用对象为，对信息系统要求基本固定的企业；自身有能力建设维护系统硬件的企业；规模较小，仅使用信息系统处理一般性业务的企业。

（二）系统外包

企业选择系统外包时，向外包商购买信息系统的使用权，信息系统的建设、运行、维护由外包商负责，信息系统归外包商所有，双方通过合作协议规定各自的权利和义务，外包商将保证系统运行的稳定可靠，保证企业数据的安全。

选择这种类型的外包，企业需要进行市场调查，进行外包商的筛选，然后签订合作协议，这些交易成本的发生是为了保证日后信息系统的良好运行。协议签订后，企业在使用信息系统过程中会与外包商发生某些摩擦；企业对信息系统要求改变需要变更协议，这些会给企业造成代理成本。此类型外包的交易成本与代理成本呈负相关，企业应根据实际情况选择策略，使总成本最小。此类型外包的适用对象为，信息化程度较高的大中型企业，企业有一定的信息技术能力可评价外包商的服务，有其他外包商可供企业选择。

（三）业务外包

企业选择业务外包是将特定的业务处理委托给外包商。一般企业需要与外包商签订一个长期的服务合约，约定由外包商完成与特定业务处理功能有关的信息系统建设，并承担特定的业务处理操作。

此类型的外包使企业可以将业务的风险转移给外包商，但同时，如果外包商违约，带来的损失也是最大的。因此，企业首先要寻找信誉好、质量高的外包商，签订尽量详细周全的合约，投入较多的交易成本，以保证日后项目能顺利实施。在实施过程中，为防止外包商违约，企业也要支付大量的监督管理成本；外包商掌握企业的大量信息，增大了企业信息外泄带来的成本。可见，业务外包是三种外包类型中外包程度最大的，其交易成本与代理成本也是最高的。适用对象为，企业自身不具备利用信息系统完成业务的能力；业务对信息系统的要求不断变化，软件开发、系统建设持续实施；企业能对外包商充分了解，与外包商形成长期的伙伴关系，外包商持续经营且信誉良好。

五、根据外包成本的影响因素选择外包类型

企业在确定外包项目后，应选择合适的外包类型，以较低的外包成本获得较高的外包收益。外包成本受多种因素的影响。威廉姆森认为，交易成本的存在取决于三个因素：有限理性、机会主义和资产专用性。本文根据我国信息系统服务市场的现状，选取企业面临的以下六种因素对外包成本的影响进行分析，帮助企业选择合适的外包类型。

（一）信息系统外包市场发展程度

企业在发展较健全的市场上可以获得较充分的信息、确定适当的价格及选择良好的供应商，从而降低外包的交易成本与代理成本。我国的信息服务业虽然起步较晚，但经过多年的快速发展，已形成市场化较高的通用软件市场，而外包服务市场相对不太成熟。因此，对于一般性业务，企业应选择购买应用软件；对于特殊性业务，也应根据企业信息技术实力对外包程度做出选择。

（二）企业信息系统相关业务变化的频率

当企业相关业务对信息系统的要求不断变化时，企业会持续需要软件开发及系统建设服务，选择业务外包对企业是有利的。如果企业选择的外包程度较小，还要在人员培训上花费大量成本，以使员工适应不断变化的信息系统。

（三）信息系统外包项目所需资产的专用性

资产专用性是指耐用人力资产或实物资产锁定于特定业务的程度，即资产对特定业务的专属程度。在交易成本理论中，资产专用性是交易的一个重要特性，资产专用性的高低将影响交易成本的变动。一方面因为专用性资产难以移作他用，外包商投入用于企业外包信息系统的投资，将抑制外包商的投机行为，降低代理成本；另一方面外包商会因投资成本增加而要求企业支付较高的费用，增加企业的外包成本。当企业信息系统需要专用资产时，应综合考虑外包费用、代理成本、自行投资建设信息系统的成本等因素，确定合适的外包程度。

（四）信息系统外包项目绩效的不确定性

不确定性指企业对于运用信息系统处理业务的绩效无法预期的程度，它包括信息系统建设成本的不确定性及信息系统收益的不确定性两个方面。建设信息系统时，会发生各种不能充分预见的情况，例如材料价格波动、工资成本变化、技术革新等，因此，建设成本将受到较大的影响；信息系统的使用收益也不能充分预见，例如，应用该系统是否有助于企业业务质量的提高及业务成本的节约。系统外包由于对信息系统建设的价格早已在合同中做了规定，因此不确定性不受上述材料、工资、技术等因素的影响。业务外包将完成业务的价格固定，信息系统的成本与收益都不受不确定性影响。因此，如果建设成本的不确定性很大，应该考虑系统外包；如果信息系统使用收益的不确定性很大，应使用业务外包。但是，企业信息系统外包的不确定性越高，外包合同越不完善，企业与外包商间的伙伴质量也越低，企业同时应考虑交易成本与代理成本的增加。

（五）信息系统外包项目结果的可评价性

可评价性指企业衡量外包商信息服务与系统输出品质所遭遇的困难程度，企业应有足够的能力对外包项目的实施结果做出评价。外包程度不同，评价的难度与内容也不同。选择软件外包的企业，不仅要了解软件的用途，还要能够对相应的硬件建设做出可行性评价；选择系统外包的企业，应能够评价信息系统的质量；选择业务外包的企业，需要评价外包商业务完成的质量。

（六）信息系统外包项目的重要性

4.信息系统安全应急预案 篇四

随着大量信息技术的采用，公司信息化建设发展迅速，并日益成为提高公司竞争力的重要因素。公司建立了支持全公司业务经营的核心业务处理系统、财务处理系统、OA系统和邮件系统，实现了数据的集中管理。但伴随着公司信息化建设的发展，IT系统的安全性也越发重要，需要全面加强信息安全性的建设，确保系统不受到来自内部和外部的攻击，实现对非法入侵的安全审计与跟踪，保证业务应用和数据的安全性。同时还必须建立起一套完善、可行的应急处理规章制度，在出现重大情况后能及时响应，尽最大可能减少损失。

1.2 公司系统架构和现状

2.1 IT应用系统架构

公司的IT系统以总公司为中心，各分支机构通过租用专用线路同总公司连通，在各分支机构内部也建立较完善的多级综合网络，包括中心支公司、支公司、出单点等等。在网络上运行着以下系统：

（一）生产系统

包括核心业务处理系统、财务处理系统、再保险处理系统等，贯穿公司的各个层面，包括总公司、分公司、支公司、出单点等，是公司整个IT系统的核心部件，也是最需要投入资源的部分。

（二）办公自动化系统

辅助公司日常办公的系统，实现公司上下级之间的公文与协同工作信息传递。

（三）邮件系统 为公司内、外部信息交流提供方便、快捷的通道。

（四）公司网站

发布公司信息，在宣传公司，提升公司形象上发挥重要作用。

2.2 系统安全隐患

由于公司的系统是多应用、多连接的平台，本身就可能存在着难于觉察的安全隐患，同时又面临来自各方面的安全威胁，这些威胁既可能是恶意的攻击，又可能是某些员工无心的过失。下面从网络系统、操作系统与数据库、数据以及管理等方面进行描述：

（一）网络

与公司各级网络进行互联的外部网络用户及Internet黑客对各级单位网络的非法入侵和攻击；公司内部各级单位网络相互之间的安全威胁，例如某个分支单位网络中的人员对网络中关键服务器的非法入侵和破坏；在各级单位网络中，对于关键的生产业务应用和办公应用系统而言，可能会受到局域网上一些无关用户的非法访问。

（二）操作系统与数据库

操作系统与数据库都存在一定的安全缺陷或者后门，很容易被攻击者用来进行非法的操作；系统管理员经验不足或者工作疏忽造成的安全漏洞，也很容易被攻击者利用；系统合法用户特别是拥有完全操作权限的特权用户的误操作可能导致系统瘫痪、数据丢失等情况。

（三）网络应用

网络上多数应用系统采用客户/服务器体系或衍生的方式运行，对应用系统访问者的控制手段是否严密将直接影响到应用自身的安全性；由于实现了Internet接入，各级单位的计算机系统遭受病毒感染的机会也更大，且很容易通过文件共享、电子邮件等网络应用迅速蔓延到整个公司网络中；网络用户自行指定IP地址而产生IP地址冲突，将导致业务系统的UNIX小型机服务器自动宕机。

（四）数据

数据存储和传输所依赖的软、硬件环境遭到破坏，或者操作系统用户的误操

作，以及数据库用户在处理数据时的误操作，都会使严重威胁数据的安全。

（五）管理

如果缺乏严格的企业安全管理，信息系统所受到的安全威胁即使是各种安全技术手段也无法抵抗。

在充分认识到确保核心业务和应用有效运转的前提下，公司已经采取了一定的措施，如利用操作系统和应用系统自身的功能进行用户访问控制，建立容错和备份机制，采用数据加密等。但是这些措施所能提供的安全功能和安全保护范围都非常有限，为了在不断发展变化着的网络计算环境中保护公司信息系统的安全，特制定了IT系统重大事件应急方案。

2.3 IT系统重大事件的界定

IT系统的脆弱性体现在很多方面，小到短暂的电力不足或磁盘错误，大到设备的毁坏或火灾等等。很多系统弱点可以在组织风险管理控制过程中通过技术的、管理的或操作的方法消除，但理论上是不可能完全消除所有的风险。为了能更好的制定针对IT系统重大事件的应急方案，必须先对所有可能发生的重大事件进行详细的描述和定义。下面将从IT系统相关联的电源、网络、主机及存储设备、数据库、病毒、信息中心机房等多个方面进行说明。

3.1 电源

电源是IT系统最基础的部分，也是最容易受到外界干扰的部分之一。在既能保证公司系统平稳运行，又能保证关键或重要设备安全的前提下，根据目前配备的UPS电源的实际情况，将电源事件分为三个层次：

一般性电源事件：停电时间在1小时以内的（包括1小时）； 需关注电源事件：停电时间在2小时以内的（包括2小时）； 密切关注电源事件：停电时间在2小时以上的。

3.2 网络

网络是IT系统及网络客户进行通讯的通道，也是最容易受到外界干扰或攻击的部分之一。目前总公司主要对各地分公司到总公司的网络线路进行管控，而公司又是采用数据集中的运营模式，鉴于这种情况，将网络事件分为三个层次：

一般性网络事件：楼层交换机出现异常，或局域网络中断时间在5分钟以内的（包括5分钟）；

需关注网络事件：主交换机、防火墙、上网设备出现异常，或局域网络中断时间在30分钟以内的（包括30分钟），广域网络中断时间在5分钟以内的（包括5分钟）；

密切关注网络事件：主干交换机、核心路由器、VPN设备出现异常，或广域网络中断时间在30分钟以上的。

3.3 主机及存储设备

主机及存储设备是IT系统运行的关键和核心，也是相对脆弱的部分，对工作环境的要求是相当高的，任何外部的变化都可能导致这些设备出现异常。根据出现的异常情况，将主机及存储设备事件分成三个层次：

一般性事件：非系统关键进程或文件系统出现异常，不影响生产系统运行的； 需关注事件：根文件系统或生产系统所在的文件系统的磁盘空间将满/已满或系统关键进程异常，即将影响或已经影响生产系统运行的；主机或存储设备的磁盘异常并发出警告的；

密切关注事件：主机宕机；存储设备不能正常工作的；主机与存储设备中断连接的；主机性能严重降低，影响终端用户运行的；系统用户误操作导致重要文件丢失的。3.4 数据库

数据库是存储公司经营信息的关键部分，由于数据库是建立在主机及存储设备上的应用，任何主机及存储设备的变化都会对数据库产生或大或小的影响，同时数据库也是公司各个层面用户的使用对象，用户对数据的操作可能导致不可预料的影响。根据数据库对外界操作的反映，将数据库事件分为两个层次：

一般事件：不影响大量用户或应用系统正常运行的警告或错误报告； 重要事件：数据库的系统表空间将满/已满的；业务系统表空间将满/已满的；数据库网络监视进程终止运行的；数据库内部数据组织出现异常的；数据库用户误操作导致数据丢失的；数据库关键进程异常；数据库性能严重降低，影响终端用户运行；数据库宕机。

3.5 电脑病毒

由于Internet接入，员工从Internet上进行下载或者接收邮件，都有感染病毒的可能性。某些病毒带有极大的危害性和极快的传播速度，从而可能导致在公司内部的病毒大范围传播。针对病毒在公司内部的传播范围或危害程度，分为三个层次：

一般性事件：独立的病毒感染，并没有传播和造成损失的；

密切关注事件：病毒小范围传播，并造成一定损失，但不是重大损失的； 严重关注事件：病毒大范围传播，并造成重大损失的；

3.6 其他事件

信息中心机房其他影响IT系统运行的因素可能会产生一些突然事件，主要有以下一些方面：

（一）空调工作异常，导致机房温度过高；

（二）空调防水保护出现异常导致渗水；

（三）发生火灾；

（四）粉尘导致主机或存储设备异常的。

3.4 信息系统重大事件的应急方案

根据上节对IT系统重大事件的界定，公司已经建立了一套完整的应急方案，在硬件方面采用双机热备机制，同时加强日常的系统监控，保持完整的数据备份，及时进行灾难恢复，和储备必要的系统备件等多种技术和方法。下面按照IT系统相关联的电源、网络、主机及存储设备、数据库、电脑病毒等多个方面进行说明。

4.1 电源

采用UPS为主要设备进行供电，为了应对重大突发事件，采用以下了手段：

（一）加强UPS的维护，保证UPS的正常工作;

（二）在必要情况下，交流输入供电系统采用双路市电供电和发电机联合供电，保证市电使长期停电, UPS仍能正常供电；

（三）直流输入方面，采用公用一组电池组的设计，配置长达4小时的后备电池, 并提供交流输入瞬变或市电与发电机供电切换时的短时供电；

（四）根据停电时间的长短，依次发布一般性通知、较紧急通知和紧急通知给相关部门和机构；

（五）停电发生后，及时联系供电部门和物业管理部门。

4.2 网络

（一）核心路由器做双以太口绑定，如一端口发生故障，自动切换到VPN备份线路接入主机系统，直到修复使用正常，同时由网络集成商提供技术和备件支持，一旦出现紧急故障，1小时赶到现场处理故障；

（二）到分支机构专线采用2M数字线路，如2M数字线路发生故障断开则自动切换到VPN备份线路接入主机系统，直到专线修复则使用正常2M线路通信；

（三）对于网络核心设备出现重大故障，尽快了解情况，分析问题和提出应急解决方案，做好现场应急处理，立即通知网络集成服务商到现场处理，主干交换机由网络集成商提供技术和备件支持，一旦出现紧急故障，1小时内赶到现场处理故障；

（四）为防止核心路由器或主干交换机发生故障后无法解决问题，在必要情况下，配备一台备用路由器和主干交换机，配置接口与核心路由器和主干交换机相同，一旦出现故障，能在十分种内进行更换；

（五）采用CISCO PIX FIREWALL在网络入口处检查网络通讯，根据设定的安全规则，在保护内部网络安全的前提下，保障内外网络通讯，实现了内部网络与外部网络有效的隔离，所有来自外部网络的访问请求都要通过防火墙的检查，内部网络的安全将会得到保证。具体有：

1、设置源地址过滤，拒绝外部非法IP地址，有效避免了外部网络上与业务无关的主机的越权访问；

2、防火墙只保留有用的WEB服务和邮件服务，将其它不需要的服务关闭（含即时通信QQ或其它，MSN控制在一定范围使用），将系统受攻击的可能性降低到最小限度，使黑客无机可乘；

3、防火墙制定访问策略，只有被授权的外部主机可以访问内部网络的有限IP地址，保证外部网络只能访问内部网络中的必要资源，与业务无关的操作将被拒绝；

4、全面监视外部网络对内部网络的访问活动，并进行详细的记录，及时分析得出可疑的攻击行为；

5、网络的安全策略由防火墙集中管理，使黑客无法通过更改某一台主机的安全策略来达到控制其他资源访问权限的目的；

6、设置地址转换功能，使外部网络用户不能看到内部网络的结构，使黑客攻击失去目标。4.3 主机、存储设备及数据库

为保证生产系统稳定运行，主机与存储系统保持7X24小时的可用。为应对可能发生的重大事件或突发事件，采取以下措施：

（一）在接到紧急停电通知后30-40分钟内按照先数据库、次主机、最后存储设备的顺序停止所有系统运行，在必要的情况下，须拔掉所有电源插头；

（二）采用双机热备技术，在其中一台主机出现异常时，及时进行切换；

（三）采用硬盘、磁带库等设备作好日常数据备份；

（四）如果发生误删除操作系统文件，立即进行文件系统恢复（必须有备份）；

（五）如果发生误删除数据，立即进行数据库恢复（必须有备份）；

（六）如果文件系统空间不够，导致系统不能正常运行，立即进行文件系统扩展。

（七）如果数据库表空间不足，立即进行表空间扩展，同时可能还进行文件系统扩展；

（八）在必要情况下，建立异地数据备份中心，以保持数据安全性。

（九）出现重大故障，尽快了解情况，分析问题和提出应急解决方案，做好现场应急处理，立即通知系统服务商到现场处理，并由系统服务商提供备件支援。

4.4 电脑病毒

为防止电脑病毒在公司内部的传播，反毒和信息安全应按照“整体防御，整体解决”的原则实施，采用多种手段和产品来切断电脑病毒的传播“通道”。具体措施如下：

（一）配置企业级网络版杀毒软件，在公司总部、分公司、营业部所有联网的PC机、PC服务器上安装病毒/邮件防火墙，部署统一的公司网络防毒系统，实现反毒分级防范和集中安全管理；

（二）在公司总部和分公司配置防毒网关服务器，检查所有进出邮件、所访问的网页和FTP文件，防止病毒通过外部网络进入公司内网进行传播；

（三）建立定时自动更新防病毒软件和病毒库的机制，确保杀毒软件的有效性；

（四）建立集中的网络入侵检测和漏洞扫描系统，防范黑客入侵和攻击，及时给系统打补丁；

（五）加强对用户的教育，不从不明网站下载，不查看来源不明的邮件，不运行可能含有病毒的程序等；

（六）如果用户机器发现病毒，应立即终止网络连接并通知信息部门进行相关处理；

5.信息系统外包预案 篇五

1.目的 完善信息系统应急预案，规范信息系统应急演练，做好防范应急措施，保障系统正常运行。

2.依据 《XX 市综合医院管理评估标准》（SHAS-2007）

3.适用范围 本科室及相关部门 4.职责 4.1 用户：发现故障及时报告。

4.2 信息中心：负责接报后的故障排除、评估，决定是否启动应急预案。

4.3 相关职能部门：启动应急预案后的协调和秩序维护。

5.内容 5.1 当用户出现故障，及时向信息中心报告。信息中心接报后负责故障排除。10 分钟内无法排除，负责通知行政部及相关职能部门启动应急预案。

5.2 服务器管理员、网络维护人员、信息系统管理员共同查找原因，及时联系系统开发公司，尽快排除故障。

5.3 当局域网恢复时，由软件维护人通知财务部、医务部、护理部恢复使用电脑系统，对于手工操作期间的数据由记录员本人完成数

据的补输入。

5.4 信息中心需对相关部门应急预案文档进行指导、修改并备份。

5.5对系统故障排除及应急预案实施后出现的问题进行详细量化分析，进一步完善应急预案，并做好相关记录。

5.6 为了保证在系统出故障时，能及时实施应急预案，由信息中心负责每年组织在全院范围内进行应急预案演练。对演练中出现的问题，及时汇总，分析，提出整改措施，做好应急预案演练记录和用户季度工作记录。

5.7 门诊各窗口，各诊室平时应配备纸质处方、收费单、化验单、检查单等，以备应急预案的启动。

5.8 备注 5.8.1 对于需出院结账的病人如遇电脑不可使用，由财务科自行与医务部商定根据病种和病人类型收取一定数额的押金及证件，并告知病人或家属再结账流程。

5.8.2 计算机中心每月需有专人维护每个终端上的价格信息表。

5.8.3 如果手工发票始终没有转换，上报财务处做账务处理。

5.8.4 在紧急程序启用时，所有药房按手工配发模式进行，分开存放处方。

6.急诊科信息系统应急预案 篇六

随着医院管理不断发展和需要，医院信息化的需求越来越大，相应地对信息化的依赖性也越来越强。目前，医院急诊就诊从病人进入医院挂号开始，到病人就诊，各项检验、检查，收费，取药，输液等都通过计算机网络进行。为提高网络安全突发事件的应急能力，最大程度预防和减少信息化突发事件造成的危害和损失，特制定本应急预案。

一、预案启动: :

某一个或多个部门的信息系统因故障不能正常使用，预计 30 分钟内不能恢复，严重影响急诊正常就诊秩序。

二、启动流程: :

医护人员一旦发现计算机故障应在第一时间通知分诊台，分诊护士向信息科值班人员汇报，由信息科技术人员快速到位，迅速排检原因，若信息科预计 30 分钟之内不能排除故障时，分诊台应立即汇报总值班和科主任。由总值班下达应急预案的启动命令，同时科主任向分管院长汇报情况。

三、急诊就诊秩序维护: :

“网络与信息安全应急预案“启动时，急诊所有医护人员、工作人员、保安等协同总值班做好秩序的维持工作，做好向病人的告知工作，以保证医院急诊医疗业务的有序开展。

急诊各系统应急方案:

1.急诊挂号收费:信息故障后，人工挂号，手工划价记帐。系统恢复后，把手工单子补入计算机。备用物品:手工记账单。

2.急诊医生工作站:信息故障后，接诊病人后完成手工病历书写，开具手工检查单（检验、超声、放射、心电图等单子）和手工处方，嘱病人到收费窗口。备用物品:各种手工单子备用在抢救室。

3.LIS 系统:信息故障后，各仪器独自工作，接收人工检验单子后，人工抄写报告单。待系统恢复后，再人工输入。

4.PACS、B 超图像系统:信息故障后，接收手工检查单，检查后手工出报告单，但无图像。待系统恢复后，再人工输入。

5.急诊药房:手工处方由收费处记账后到药房，药房接收手工处方后先发药。待系统恢复后，再人工输入。

6.血库管理系统:手工登记、划价。及时把划价单送收费处。

7.信息系统外包预案 篇七

关键词：医院,信息系统,网络故障,三级分层,分步诊断

随着医院规模的不断扩大、先进医疗设备的不断引进、医疗水平的提高、就诊人数大幅度上升, 各种信息急剧膨胀, 医院的医疗服务和信息管理提出更高的要求, 医院信息系统的稳定性、安全性越来越重要。医院信息系统为医院日常工作的正常运营和信息化管理提供保障, 在提高工作效率、记录保存并获取医疗信息、改进医疗服务质量、提高医疗工作效率等方面起到了重要作用。医疗作为一个特殊行业, 对网络系统的要求比较严格, 系统本身24 h不允许停机, 每周7 d不间断运行, 数据不能丢失。在这种情况下, 对数据的安全防范就非常必要及迫切, 一旦发生数据失效或重大网络故障而不能及时恢复, 甚至造成信息系统瘫痪, 就会给医院及患者带来不可估量的损失。为了确保在这种紧急情况下做到反应迅速、处置果断, 医院信息系统应急预案的建立非常关键, 对预警能力和响应能力的提高具有重要作用。

1 网络故障常见现象及诊断

1.1 常见网络故障

目前大多数医院都缺乏使用高效、合理的网络管理工具, 没有制定全面、系统的故障解决方案, 无法实时发现网络系统异常现象, 无法及时地解决网络故障。医院内网络结构单一没有层次化, 使核心设备的负担随着医院业务量的增加而加大, 对于客户端而言会出现系统无法正常登陆。网络故障一旦发生, 医疗业务往往会受到严重影响, 如影响病人及时就医、影响医生正常工作、影响医院整体业务等。常见的网络故障通常发生在以下几个方面: (1) 最顶层网络故障。最顶层是由各种服务器和其所承载的数据库所组成的数据中心及服务器端。对于服务器端, 保证所提供服务的可靠性、不间断性以及数据存储的安全性是决定医院信息系统安全的关键。最顶层网络故障会造成门 (急) 诊医保工作站、医保办核算工作站等不能登陆医保服务器, 无法完成医保收费、数据的实时上报。医院应采用双机、双冗余模式, 当一个服务器发生故障时, 主、备服务器可以自动切换, 这样能够保证信息系统的正常运行。 (2) 中间层网络故障。中间层是由网络布线和交换机设备组成的计算机网络及网络层。中间层的计算机网络面临的主要问题是网络设备的可靠性问题, 应尽可能的考虑冗余性。在网络的中间层部署主备设备, 通过热备份冗余协议, 构造出一个虚拟的设备充当客户的网关设备, 主备设备通过协议信令来选择主备角色进行实际的转发, 备用设备此刻处于监听状态。当处于转发状态的设备出现故障后, 备用设备会由监听状态转换为转发状态, 从而进行数据的转发, 此刻角色进行了第一次切换。当出现故障的设备恢复正常功能后会再一次进行角色的切换, 实现一次完整冗余切换。主备切换的过程所用时间相当短, 对于各个部门来说没有任何延时现象。通过这种部署及技术的应用可以避免单一设备出现故障后带来的损失, 从而保证了系统的稳定性和可靠性。 (3) 最底层网络故障。最底层是位于各信息系统使用部门的网络工作站及其所安装的软件系统及客户端。对于最底层的工作站, 安全性的问题主要来自于计算机病毒的侵扰和使用人员人为操作造成的系统破坏[1]。最底层网络故障会造成多台计算机同时不能与系统连接。可通过网络测试仪进行网络检查, 匹配线路、端口测试后使交换机恢复正常, 也使系统连接恢复正常。

1.2 网络故障的诊断

第一步:在分析网络故障时, 首先要清楚故障现象。应该详细说明故障的表现和潜在的原因, 然后确定造成这种故障现象的原因类型。例如主机不响应客户请求服务, 原因可能是主机配置问题、接口卡故障或路由器配置命令丢失等。第二步:收集需要的和用于帮助隔离可能故障原因的信息, 向用户、网络管理员和其他关键人物提出与故障有关的问题, 广泛从网络管理系统、协议分析跟踪、路由器诊断命令的输出报告或软件说明书中收集有用的信息。第三步:根据收集到的情况考虑可能的故障原因, 并根据有关情况排除某些故障原因。例如根据某些资料可以排除硬件故障, 把注意力放到软件原因上, 尽快制定出有效的故障诊断计划。第四步:根据最后判断的可能故障原因建立一个诊断计划, 诊断计划要切实有效, 要有明确的诊断对象, 要有可执行性。第五步:执行诊断计划, 认真做好每一项测试和观察, 直到故障问题的消失。第六步:每改变一个参数都要确认其结果。分析结果并确定问题是否解决, 如果没有解决要继续探讨, 直到问题解决。

2 网络故障的应急处理及故障的排除

2.1 处理原则

最高层和中间层故障由信息科主任上报院领导, 医院组织协调恢复工作;最底层故障由网络管理人员上报信息科主任, 由信息科集中解决。

2.2 发生网络整体故障时的应急响应

信息科一旦确定为网络整体故障时, 首先要立刻报告院领导, 同时领导信息科人员组织恢复工作, 要充分考虑到特殊情况对故障恢复带来的时间影响, 如节假日、病员流量大、人员外出及医院有重大活动等;当发现网络整体故障时, 各部门根据故障恢复时间的程度将转入手工操作, 30 min内不能恢复, 门诊挂号、住院登记、药房等部门要转入手工操作;6 h内不能恢复, 各护士工作站、药房、120急救中心、手术室、医技检查要转入手工操作;24 h以上不能恢复, 全院各种业务要转入手工操作。

2.3 网络故障应急处理规程

网络故障是因硬件或软件原因致使医院信息管理系统运行停止, 一旦发生故障, 按下列规程处理。

(1) 信息科应设24 h专人值班, 监控并维护医院正常网络运行, 发现问题要在及时处理的同时迅速向科室领导汇报, 如遇较大故障问题及时汇报院领导。故障排除后应完成故障记录, 并做好故障报告, 在技术讨论会上做汇报。

(2) 遇到较大故障时信息科工作人员应立即实行紧急集合, 判定软、硬件故障问题, 确定故障原因, 启动相应的应急预案, 集体解决故障问题。信息科不同岗位分配不同职能, 一旦发生故障, 各职能岗位协同合作, 从不同方面查找故障原因, 共同完成系统的修复工作。具体可分为3组完成工作。故障检修组:集中系统管理员继续分析故障、查找原因、修复系统。技术联络组:迅速与软、硬件供应商联系, 采取有效手段获得技术支持。信息科应配有相应的技术 (IT) 支持公司一览表, 有相应的技术支持内容、负责人、联系方式等, 系统一旦发生故障能在第一时间得到技术支持。院内协调组:通知全院各科室故障的情况, 并到关键科室协助数据保存。故障产生后会影响医技科室的正常工作, 此时要将故障情况让医技科室知晓并提供数据保存等方面的帮助, 尽量减少故障产生的影响。

(3) 全院各系统执行系统故障数据保护措施并设置数据抢录岗, 一旦发生系统无法正常使用或停机的情况时保护原始数据, 及时做好数据记录工作, 完成数据的补录。

(4) 在停机期间, 相关科室应要持续在岗, 一旦故障排除、系统恢复, 当日应立即完成对重要数据的录入, 尽快完成全部数据的补录工作。

(5) 故障排除后, 信息科要协助重要科室进行数据补录工作。应组织技术研讨会, 分析故障原因。见图1。

3 网络故障应急预案实施时的具体协调安排

一旦发生网络故障后由信息科统一通知所涉及科室的手工操作启动时间, 相关科室严格按照通知时间协调各项工作, 在未接到新的指示前不准私自操作计算机, 防止造成数据的不统一。

3.1 门诊挂号工作协调

门诊收费处由各收费部门主任负责联系协调。此时门诊部主任要实时地与信息科保持联系, 及时反馈沟通。网络恢复后, 操作员要及时将网络中断期间挂号患者的信息输入到计算机, 做好数据补录工作。

3.2 出院结算处的工作协调

当网络系统运行中断超过30min时, 要通知收款员转入手工收费程序, 要建立手工发票使用登记本, 对发票使用情况做详细登记。当系统停止运行>24 h时, 对普通出院患者将进行协调并推迟出院结算时间。对急诊出院的患者应根据病历和临床护士工作站的记录进行费用登记, 手工核算住院总费用, 出具手写发票。当系统恢复正常时, 由收款员负责对网络运行稳定性进行观察、监测, 如系统不稳定, 需及时向信息科反馈情况。接到故障排除及系统恢复正常的通知并重新启动运行后, 收款员逐步恢复计算机操作。

3.3 护士工作站的协调

护士工作站由护理部共同协调并与信息科保持联系, 及时反馈沟通。网络故障期间各临床科室应详细记录患者所有费用的执行情况, 科室要详细填写每位患者的药品请领单 (包括姓名、住院号、费别、药品名称及用量) , 一式两份, 一份用于科室补录医嘱, 另一份送药房作为患者领药凭证。接到信息科通知故障排除及系统恢复运行的确切时间后按要求补录医嘱。

3.4 医技检查工作的协调

在网络停运期间应详细留取、整理、检查申请单底联;网络恢复后根据检查单底联登记, 通过手工记价补录患者费用, 注意要与临床科室联系和沟通。对即将出院或有出院意向的患者, 主治医师要在检查申请单上注明, 检查科室应及时通知科室或住院处沟通费用情况。

3.5 药房工作的协调

严格按照信息科通知的时间及要求进行操作。网络故障时, 根据临床科室提供的药品请领单发药。网络恢复时按临床科室补录的医嘱进行发药并确认, 同时与发药时药品请领单内容仔细核对, 如发现内容不符, 须详细追查;对出院带药处方要及时进行确认[2]。

各工作站接到重新运行系统通知时需重新启动计算机。整体网络故障的工程恢复由信息科严格按照服务器数据管理要求进行恢复工作。

4 主服务器宕机应急预案的启动

4.1 启动条件

首先必须使用不间断电源 (Unirlterruptible pouer supply, UPS) , 保证服务器24 h不间断工作, 防止停电造成的数据库损坏。目前大部分医院采用的是双机热备份加磁盘阵列柜的模式, 当一个服务器发生故障时, 备份服务器能在十几秒的时间内切换启动数据库, 一般能在2~3 min内恢复业务处理程序, 做到当一台服务器出现故障时保证信息系统的正常运行。如果阵列出现故障, 整个系统仍要停止运行, 一般在条件允许的情况下应备有应急服务器。应急服务器在平常工作时, 通过数据库的备份服务实时地进行异地备份, 保证数据与中心服务器的同步。当双机服务器或阵列出现故障时, 系统能顺利转移到应急服务器上运行, 所有用户的使用方法保持不变, 患者数据信息连续, 不仅方便了操作人员, 而且大大地提高了系统的安全性。服务器端不仅要做到硬件的安全保障, 而且要做到软件的安全保障。需定期更新数据库访问密码, 定期更新域管理员密码, 最重要的是将医院的内网与外网做到物理上的完全隔离。应急预案启动流程见图2。

4.2 替代程序服务器的启动

如故障不能在短时间内排除, 要转入替代程序服务器。替代程序为应急事件发生时启动的替代信息管理系统, 见图3。

5 小结

再好的安全措施也不可能保证万无一失, 高效的组织领导、周密的应急预案和严格的人员培训是应对信息网络突发安全故障的基础, 确保在出现故障时将损失减少到最低。结合医院具体实际情况制定周密合理的网络故障应急预案, 对保障医院信息系统正常、高效、规范的运行起着至关重要的作用。在制定应急预案的同时, 无论是计算机中心还是对各个医技科室都要加强对人员的培训, 确保在故障突发时可以更好的响应应急预案, 使整个应急系统在关键时刻发挥其最大效应。

参考文献

[1]刘雪筠.自动备份技术在医院信息管理系统中的应用研究[J].计算机光盘软件与应用, 2014, (12) :41-43.

8.信息技术外包风险管理研究 篇八

摘要：随着信息技术外包近年来在国内外的迅速发展，信息技术外包项目实施过程中的风险管理越来越引起研究者和实践者的关注。文章以交易成本理论和委托代理理论为基础，讨论了在信息技术外包的过程中有哪些风险、这些风险产生的原因以及应对风险的策略。

关键词：信息技术外包；风险；交易成本；委托代理

信息技术外包或IT外包fInformation Technology Out－sourcing)是指企业将部分或全部信息技术功能。以契约方式委托外部的信息技术供应商来进行运作。与企业自行承担IT职能相比，信息技术外包可以被认为是对传统的IT管理方式进行了创新。IT外包在近年来得到了迅速发展，通常认为IT外包的潜在收益包括降低企业IT成本、将企业资源集中于核心竞争力、使用外包商所拥有的新技术等。尽管IT外包有很多好处，但也有其相应的风险。此处所说的风险是指信息技术外包可能给企业带来的损失。只有综合考虑IT外包所带来的收益和风险，才能更好地使其发挥出最大的效用。

本文以交易成本理论和委托代理理论为基础，对IT外包的风险管理进行研究，主要探讨IT外包有哪些风险、这些风险产生的原因以及应对风险的策略。

一、理论基础

因为IT外包与经济学中所说的“自制或购买”(Makeor Buy)问题密切相关，探讨该问题的许多理论视角，如交易成本理论和委托代理理论，比较适合用来评估IT外包的经济价值和风险。

1交易成本理论。交易成本理论认为，“市场”(Mar-ket)和“企业层级制”(Hierarchy)都可以用来协调经济活动，都可以用来分配各种资源。按照这个观点，当IT成为企业的一项基本职能时，企业需要考虑该职能的各项活动是在企业内部完成(Make)，还是通过市场交易选择外包供应商来完成(Buy)。对于哪些IT职能应当外包出去，哪些应当保留在企业内部，一个基本的权衡因素是成本。当内部成本大于外部成本，并且交易成本小于二者的差额时，外包就会是一个理性的选择。

交易成本理论的基础是关于人类行为的两个假设：有限理性和机会主义。其中，有限理性是指人们的认知能力是有限的。无法完全掌握或知晓现实当中发生的事物。机会主义行为是指企业只为自身而不为合作方着想的行为，如供应商在客户不了解所需技术知识的情况下，侵占客户的资产并挪作它用。

除了上述两个基本假设之外。在描述一项交易时，交易成本理论从以下几个因素加以考虑：(1)不确定性，它是指人们无法完全预知未来发生的状况。(2)交易发生的频率，它是指单位时间内供应商和客户业务联系次数的多少。(3)资产特殊性，它是指外包交易中所涉及的产品或服务的独特性。除此之外，也有文献指出，供应商数量也是影响交易的重要因素。

2委托代理理论。委托代理理论关注经济活动中普遍存在的委托代理关系。其中，一方(委托人)将工作委托给另一方(代理人)来完成。信息技术外包的实质也是这样的一种委托代理关系。它的基本假设是委托人和代理人的目标不一致性、代理人追求自身利益以及信息不完全。而作为委托人一方，签订合同的主要目的是使代理人尽可能地为委托人的利益服务。并需要对代理人进行监控。

综上所述，在外包项目中需要考虑的交易成本理论方面的因素有：有限理性、机会主义、不确定性、交易频率、资产特殊性、供应商数量等。需要考虑的委托代理理论方面的因素有：目标不一致性、代理人追求自身利益、信息不完全等。

二、IT外包过程中的风险及其产生原因

从交易成本理论和委托代理理论的考虑因素出发，可以看到信息技术外包可能会带来如下一些风险：

1套牢风险。这种风险是指客户的IT资产被供应商所控制，客户无法自由处理自己的IT资产，以及客户难以转换供应商。其可能的产生原因有：

(1)资产特殊性高。可以认为外包项目中如下IT资源的资产特殊性高：①有许可证的、有专利的技术；②客户与供应商的合同中涉及的专有技术；③将由客户和供应商联合开发的IT基础设施或应用软件。相反，如果外包的职能包含对数据中心、个人电脑、通讯网络或其它类似于普通商品的IT资源的管理，或外包合同是对现存硬件和软件资源的支持和维护。我们则认为其资产特殊性低。当出现资产特殊性高的情况时，客户可能会发现自己并不完全了解所开发的系统，从而对供应商产生过度依赖。并且。即使供应商的绩效并不高，客户转换供应商也需要很高的成本。这是因为新的供应商需要重新学习如何运营客户的特殊IT资产，该过程既需要时间。也需要很多培训费用。

(2)供应商数量少。供应商的数量越少，客户在和外包供应商谈判时的话语权就越小。比如只有一家供应商，则客户的IT资产仅由一家供应商所外包。此时由于不存在其它供应商与之竞争，被该单一供应商控制IT资产的可能性大大增加，很容易被套牢。

2过高的成本。这种风险是指随着外包实施过程的推进，最终的成本大大超过合同中所规定的成本。这往往是由于以下原因所产生：

(1)不确定性高。客户在签订合同时无法确定以后所有可能出现的情况。比如IT技术会发展到哪一步、外包市场会有什么变化、客户未来是否有新的需求等，在签订合同时都存在不确定性。不确定性越高，在签订合同时越难以将各种情况包括进来。当出现一些未预料到的困难时，可能会导致成本升高。

(2)信息不完全。IT外包的发展历史毕竟不长，许多客户对IT外包的内涵、形式、交易程序等并不熟悉。与外包供应商相比，一般企业对外包项目的了解明显处于劣势。此外，在签订合同时，为了赢得客户。供应商有时会故意隐瞒一些可能发生的成本。若出现这种情况。最终的成本很可能会大大超过合同中的成本。环境当中存在的不确定性有时可以通过咨询专业机构或积累自身经验等来减少，是一种相对客观的不确定性。但信息不完全却是主观的。是供应商主观采取的行为，因此更难以通过客户的努力来加以消除。

3被供应商利用。这是指在外包过程中，供应商利用自己在IT技术上的优势地位，在谋取自身利益的同时，损害了客户的利益。比如供应商学到了客户的技术，然后成为客户的竞争对手。或将客户的一些数据卖给客户的竞争对手。这种风险的产生原因可能有：

(1)目标不一致性。供应商和客户都是独立的经济组织，他们有各自的利益动机。在一个外包项目中，客户想要以最小的成本以使自己的IT资产发挥更大的作用，而外包供应商则想从外包合同中得到更多的利润。由于双方追求的目标不同，供应商在某些时候就有可能不考虑客户的利益。

(2)机会主义。这是交易成本理论的一项基本假设。机会主义行为提高了交易成本，使得外包客户在考虑外包项目时心有疑虑。而且，在外包项目过程中。客户并不能完全

观察到供应商的行动，这就更为供应商的机会主义行为创造了条件。

(3)供应商数量少。若只有一家供应商，则随着时间的推移。IT资产方面的权力可能会逐渐掌握到供应商手中。此时，供应商处于强势地位。一旦出现这种情况，供应商可能会认为客户在IT资产的运营方面已经离不开自己，从而开始利用客户的资产来为自己谋取利益。

4争端与诉讼。这种风险是指双方对IT外包过程中的某些事项存在不同意见。比如对某项合同条款的理解等。这可能会带来双方的争端甚至诉讼。其产生的原因可能有：

(1)代理人追求自身利益。若供应商只追求自己的利润，则由于其忽视了客户的需求，很容易产生争端甚至诉讼，比如对于同一项合同条款。双方可能会有不同的解释。此外，若客户对供应商的监控比较放松。代理人追求自身利益的问题会更加严重。

(2)有限理性。首先，企业内部的决策者是具有有限理性的。其次。从企业的角度讲，若其内部的员工沟通机制、信息报送渠道、内部信息系统等不够完善，也会限制企业获得信息的能力。有限理性限制了决策制定者签订完整合同的能力，从而往往使合同不完整。比如，没有清晰的定义项目需求，从而影响到之后的项目进行。此外，客户在外包商绩效的测量方面也常常难以做到非常科学，可能会和供应商存在不同意见。

(3)交易频率。若客户和供应商在IT外包的实施过程中接触次数较少，会不利于双方的充分沟通，从而可能会带来一些争端。双方对很多事项的看法需要进行沟通才能消除双方的分歧。

三、IT外包风险的应对策略

上一部分讨论了IT外包过程中可能出现的风险及产生原因，本部分对其应对策略进行探讨。

1应对“套牢”风险的策略

(1)多供应商竞标。这可以有效减少受制于单一供应商的可能性，而且可以激励供应商提供更好的服务、更低的成本和更高的绩效，以赢得客户的合同。在有其它供应商竞争的情况下。可以激励供应商们为客户提供更好的服务。若它提供的服务质量不高，它所负责的一部分业务可能会被转移给其它供应商。同时，由于每一个供应商只负责客户的部分IT资产，无法完整了解客户IT资产的全貌，这就大大减少了对单一供应商的依赖程度。但在多供应商外包的情况下，要注意多管理和协调好多个供应商的工作。

(2)签订中短期合同。由于IT技术的迅速发展，IT外包合同中所使用的技术在过一段时间后就可能成为落后的技术。若签订长期合同，客户在转换供应商或转换技术时可能会受到合同的制约。因此，客户可以与供应商先签订中短期合同来规避这种风险。

(3)资产特殊性较高的IT资产应尽量不外包。若资产特殊性较高，则供应商理解客户的业务就可能会有困难。客户企业IT资产的特殊性越高，供应商的规模优势就越得不到体现，而且此时IT资产很有能是客户核心竞争力的一部分。对于某些公司来说，IT是其重要的成功因素。所以他们应当在企业内部来管理和应用IT。在考虑IT外包时，企业需评估自身的IT资产是否是本企业所特有的。若资产特殊性较高，则不适宜进行IT外包。

2应对“过高成本”风险的策略

(1)加强对供应商的监控。这样可以有效地减少信息不完全带来的影响，如让自己的员工和供应商的员工在一起工作，定期检查供应商的工作成果等，从而提高供应行为的可观测性，防止其过多提高成本。同时，双方员工在一起工作后，可以有较多的人际交往，有利于建立双方的信任，并更多地了解对方的业务目标，从而促进外包项目的顺利进行。

(2)第三方监理。若客户自身的技术水平和外包合同管理能力不足以对供应商进行有效的管理。则可以聘请具有足够水平的专业IT监理公司来全程监控外包实施过程。当客户对所外包的IT业务并不熟悉时，这种方式尤为有效。由于第三方IT专家对相应的技术、合同细节等比较了解。可以大大减少客户与供应商的谈判时间和精力，节省成本。

(3)在实施外包前认真定义自身的需求。客户要了解自己真正需要的是什么。在这一点上，IT外包与企业内部自行开发信息系统的要求是一样，在项目开始之前，要做好需求分析工作，这可以使项目开始后出错的可能性大大减小。

(4)了解其它成功实施IT外包的企业的做法。企业在面对一种管理上的变革可能性时，其决策往往会受到外部其它公司实践的强烈影响。比如美国企业在20世纪90年代以后纷纷模仿柯达公司的外包。这是因为公司在不熟悉一种新的业务模式时，模仿已经成功的公司的做法是比较便捷的途径，并可减少有限理性的影响。

3应对“被供应商利用”风险的策略

(1)事先熟悉一下外包市场。客户在实施外包之前要多了解一下外包市场，如哪些外包商实力较高、信誉较高，以及哪些供应商适合自己的需求等等。应尽量多找几家适合自己需求的供应商。了解市场的目的是使市场的供应和自己的需求相匹配，减少双方目标不一致带来的影响。

(2)设计共享风险的条款。在设计合同时可以设计一些使双方共享收益和风险的一些条款，如按比例分配合作开发软件的销售额等。可以有效地减少双方的目标不一致性，减少供应商采取机会主义行为的可能性。

4应对“争端与诉讼”风险的策略

(1)签订内容清晰的合同。合同条款要清晰，无异议。这可以使双方明确各自的权利和义务，从而可以在尽量多的事项上取得一致。相关的法律条款要明确地写进合同，以保护自身的合法权益。

(2)发展伙伴关系。合作伙伴关系可以使双方具有一些具同的利益，大大减少争端的可能性。如今企业之间已不是单纯的交易关系，发展合作伙伴关系可以使双方实现双赢的结果。在项目的日常进行过程中，双方的项目组成员应多进行沟通和交流，以使双方的关系往好的方向发展。

四、结语