GB∕ T 28827.8-2022 信息技術(shù)服務(wù) 運行維護 第8部分：醫(yī)院信息系統(tǒng)管理要求（含2024第1號修改單）

ICS35.080GB/T28827.8—2022信息技術(shù)服務(wù)運行維護第8部分：醫(yī)院信息系統(tǒng)管理要求國家市場監(jiān)督管理總局國家標準化管理委員會IGB/T28827.8—2022 Ⅲ 12規(guī)范性引用文件 13術(shù)語和定義 14事件管理流程 2 24.2分類管理 24.3接收管理 24.4分派管理 24.5執(zhí)行管理 24.6評價管理 34.7評審管理 34.8日志與記錄 3 35.1業(yè)務(wù)影響度定級 35.2數(shù)據(jù)安全性定級 45.3組織與人員 45.4資源保障 4 56供應(yīng)商服務(wù)管理 56.1外包服務(wù)管理 5 56.3評估與驗收 5 6 67.2協(xié)同管理 67.3溝通管理 6 68.1配置管理 68.2監(jiān)控管理 78.3日常巡檢管理 78.4備份與恢復(fù)管理 7ⅡGB/T28827.8—20229應(yīng)急響應(yīng)管理 79.1應(yīng)急方案管理 9.2備用與保障 9.3應(yīng)急人員管理 810安全運維管理 810.1網(wǎng)絡(luò)安全區(qū)域劃分 810.2信息安全管理 8參考文獻 9ⅢGB/T28827.8—2022本文件按照GB/T1.1—2020《標準化工作導(dǎo)則第1部分：標準化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。本文件為GB/T28827《信息技術(shù)服務(wù)運行維護》的第8部分。GB/T28827已發(fā)布以下7個部分：--—第1部分：通用要求；--—第3部分：應(yīng)急響應(yīng)規(guī)范；——第8部分：醫(yī)院信息系統(tǒng)管理要求。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔識別專利的責任。本文件由全國信息技術(shù)標準化技術(shù)委員會(SAC/TC28)提出并歸口。立醫(yī)院、復(fù)旦大學(xué)附屬腫瘤醫(yī)院、中國人民解放軍空軍軍醫(yī)大學(xué)第一附屬醫(yī)院、陸軍軍醫(yī)大學(xué)第一附屬認證中心服務(wù)有限公司、神州數(shù)碼信息服務(wù)股份有限公司、上海溪盎科技有限公司北京分公司、北京賽迪認證中心有限公司、北京中科金財科技股份有限公司、金蝶醫(yī)療軟件科技有限公司、南京海泰醫(yī)療信息系統(tǒng)有限公司、神州數(shù)碼系統(tǒng)集成服務(wù)有限公司、四川久遠銀海軟件股份有限公司、安徽省水恒科技有限公司、上海安翼保信息技術(shù)服務(wù)有限公司。GB/T28827.8—2022GB/T28827《信息技術(shù)服務(wù)運行維護》分為8個部分：——第1部分：通用要求。目的在于提出信息系統(tǒng)運行維護的基本組成要素，以及提供運行維護服務(wù)的各類組織在這些要素方面應(yīng)具備的條件和能力，指導(dǎo)供方改進和提升其運行維護服務(wù)能力，并為需方提供選擇和評價供方的依據(jù)?！?部分：交付規(guī)范。目的在于為運行維護服務(wù)交付過程中涉及的交付管理、交付內(nèi)容、交付方式、交付成果提供指導(dǎo)，可作為需方選擇供方的依據(jù)，也可作為供方改進運行維護服務(wù)交付能力的指南?！?部分：應(yīng)急響應(yīng)規(guī)范。目的在于提出應(yīng)急響應(yīng)的基本過程，以及過程管理要求，提升組織 —第4部分：數(shù)據(jù)中心服務(wù)要求。目的在于規(guī)定數(shù)據(jù)中心運維服務(wù)的對象、服務(wù)策略、交付內(nèi)容等——第5部分：桌面及外圍設(shè)備規(guī)范。目的在于規(guī)范桌面及外圍設(shè)備運行維護服務(wù)提供方服務(wù)行-—第6部分：應(yīng)用系統(tǒng)服務(wù)要求。目的在于提出應(yīng)用系統(tǒng)運行維護服務(wù)模型，規(guī)定運行維護對應(yīng)——第7部分：成本度量規(guī)范。目的在于規(guī)定運維成本度量的方法及過程，包括運維成本的構(gòu)成及運維成本度量過程?！?部分：醫(yī)院信息系統(tǒng)管理要求。目的在于指導(dǎo)醫(yī)院信息系統(tǒng)服務(wù)組織改進和提升其信息系統(tǒng)管理能力。本文件細化事件管理為多個環(huán)節(jié)，對配置管理等部分進行擴延、細化，同時根據(jù)行業(yè)特點重點強調(diào)了供應(yīng)商管理、應(yīng)急響應(yīng)等方面的管理要求。對于GB/T28827中已經(jīng)提過的管理規(guī)范和要求，本文件不再重復(fù)。本文件的第4章將事件管理過程細分為分類管理、接收管理、分派管理、執(zhí)行管理、評價管理、評審管理，并規(guī)定了6個細分過程應(yīng)該產(chǎn)生的日志與記錄的內(nèi)容。本文件的第5章規(guī)定了需要醫(yī)院領(lǐng)導(dǎo)、信息部門、業(yè)務(wù)部門共同參與的工作內(nèi)容，確定信息化相關(guān)本文件的第6章規(guī)定了供應(yīng)商服務(wù)作為信息部門對外提供服務(wù)的組成部分，信息部門對其做好管控的相關(guān)要求。本文件的第7章明確了溝通與協(xié)同作為運維活動管理的重要組成部分，貫穿事件處理的各個環(huán)節(jié)，是形成部分記錄的主要方法，該章規(guī)定了溝通與協(xié)同的相關(guān)管理要求。本文件的第8章對配置管理細化與擴延，細化擴延了監(jiān)控的運維要求。本文件的第9章規(guī)定了醫(yī)院應(yīng)急管理需要的三個要素，應(yīng)急方案、備用與保障、應(yīng)急人員的相關(guān)管理內(nèi)容與要求。本文件的第10章規(guī)定了網(wǎng)絡(luò)安全管理中醫(yī)院應(yīng)重點強調(diào)的相關(guān)管理內(nèi)容與要求。1GB/T28827.8—2022信息技術(shù)服務(wù)運行維護第8部分：醫(yī)院信息系統(tǒng)管理要求2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文本文件。GB/T28827.1信息技術(shù)服務(wù)運行維護第1部分：通用要求GB/T28827.2—2012信息技術(shù)服務(wù)運行維護第2部分：交付規(guī)范GB/T28827.3—2012信息技術(shù)服務(wù)運行維護第3部分：應(yīng)急響應(yīng)規(guī)范GB/T29264—2012信息技術(shù)服務(wù)分類與代碼SJ/T11693.1—2017信息技術(shù)服務(wù)服務(wù)管理第1部分：通用要求GB/T28827.1、GB/T28827.2—2012、GB/T28827.3—2012、2017界定的以及下列術(shù)語和定義適用于本文件。3.1外部信息技術(shù)服務(wù)供應(yīng)商為醫(yī)院提供特定信息技術(shù)服務(wù)的過程。3.2醫(yī)院信息系統(tǒng)hospitalinformationsystem;H3.33.4在治療過程中病情變化調(diào)整治療方案。2GB/T28827.8—20224事件管理流程應(yīng)對服務(wù)過程中的各類事件進行分類管理，并規(guī)定不同管理流程，至少應(yīng)包括如下內(nèi)容。a)識別需要管控的服務(wù)過程，并制定文件化的過程管理流程，至少應(yīng)包括：1)響應(yīng)支持管理過程；2)巡檢管理過程；3)需求管理過程；4)事項管理過程。b)建立需求分類分級制度與流程，需求來源識別的流程與制度。c)建立事件優(yōu)先度管理的制度與流程，優(yōu)先處理影響就診流程和患者隱私保護需求。d)與事件流程相關(guān)人員溝通并確認其管理職責。4.3接收管理應(yīng)制定信息技術(shù)服務(wù)需求管理制度與流程，至少應(yīng)包括：a)不同種類事件應(yīng)建立受理制度與流程，設(shè)立事件受理評審組織，應(yīng)包括信息人員、業(yè)務(wù)操作與種方式。4.4分派管理a)建立事件分派制度與流程，設(shè)立事件分派評審組織，應(yīng)包括信息人員、業(yè)務(wù)操作與管理人員b)建立事件的分派過程管理制度與流程，確保事件分派到責任人；c)建立事件分派過程跟蹤和反饋等制度與流程，應(yīng)有明確的通知記錄，并對責任人的接收也有明d)建立事件接收的監(jiān)督和考核制度與流程。4.5執(zhí)行管理事件執(zhí)行過程中，應(yīng)及時對事件處理過程進行記錄與反饋，對事件的影響變化做出及時記錄，包括：a)對事件的處理要及時記錄進展情況，同時應(yīng)及時反饋給相關(guān)人員；b)事件的處理要有期限要求管理，至少應(yīng)包括記錄處理時間、結(jié)束時間；c)事件的處理過程變化應(yīng)及時反饋給相關(guān)人員；d)及時對事件進行分析，可能引起重大醫(yī)療事故，嚴重泄密事件，規(guī)定3GB/T28827.8—20224.6評價管理醫(yī)院信息技術(shù)服務(wù)質(zhì)量管理組織應(yīng)制定專家與用戶評價管理制度與流程，至少應(yīng)包括：a)專家與用戶評價流程；e)專家與用戶評價記錄的保存要求。4.7評審管理醫(yī)院信息技術(shù)服務(wù)質(zhì)量管理組織應(yīng)制定服務(wù)評審與改進管理制度與流程，至少應(yīng)包括：b)服務(wù)過程的評審要求；c)對供應(yīng)商服務(wù)評審的要求；d)服務(wù)改進需求識別；e)服務(wù)改進流程；f)服務(wù)改進跟蹤驗證要求。事件管理流程中，應(yīng)完善各個管理環(huán)節(jié)的日志與記錄，便于后期評審與追溯，日志與記錄至少包含以下內(nèi)容：a)任務(wù)規(guī)劃完成目標及定性、定量的衡量標準；b)完成事件規(guī)劃和實際使用的技術(shù)、人員與資源；c)完成事件應(yīng)遵循的流程與操作規(guī)范；e)審計日志，應(yīng)包括存在的問題與改進意見。5服務(wù)規(guī)劃5.1業(yè)務(wù)影響度定級應(yīng)根據(jù)信息系統(tǒng)對醫(yī)院正常運營影響情況的重要性、緊急性等進行分級。醫(yī)院信息系統(tǒng)分類分級應(yīng)包括以下四級系統(tǒng)。a)一級系統(tǒng)影響患者生命安全的系統(tǒng)：指涉及患者搶救，一旦出現(xiàn)故障會影響患者生命安全保障的信息系統(tǒng)。b)二級系統(tǒng)影響醫(yī)護診療流程的系統(tǒng)：指涉及醫(yī)患診療業(yè)務(wù)，一旦出現(xiàn)故障會嚴重影響醫(yī)患診療業(yè)務(wù)流程正常運轉(zhuǎn)的信息系統(tǒng)。c)三級系統(tǒng)影響醫(yī)院運行流程的系統(tǒng)：指涉及醫(yī)院診療活動，一旦出現(xiàn)故障會影響醫(yī)院日常運行流程，但可以通過應(yīng)急措施保障患者就醫(yī)需求不受影響的信息系統(tǒng)。4GB/T28827.8—2022d)四級系統(tǒng)影響醫(yī)院管理流程的系統(tǒng)：指保障醫(yī)院正常運營，不涉及醫(yī)院診療活動的信息系統(tǒng)。應(yīng)針對不同分級的信息系統(tǒng)區(qū)分制定管理要求和目標，包括資源保障、組織與人員要求、服務(wù)過程5.2數(shù)據(jù)安全性定級應(yīng)根據(jù)信息系統(tǒng)對醫(yī)院信息數(shù)據(jù)的安全性進行分級，涵蓋患者隱私保護與醫(yī)生知識產(chǎn)權(quán)保護，系統(tǒng)應(yīng)支持設(shè)定維護權(quán)限，制定與外部交互時的管理規(guī)范與流程。定級應(yīng)至少包括以下級別。a)一級系統(tǒng)涉及醫(yī)院核心運營數(shù)據(jù)，同時包括識別患者的信息、b)二級系統(tǒng)涉及醫(yī)院一般運營數(shù)據(jù)，同時包括識別患者的信息、患者客觀診療記錄。c)三級系統(tǒng)同時包含識別患者信息，診療活動數(shù)據(jù)或客觀診療信息。5.3組織與人員息技術(shù)服務(wù)執(zhí)行人員與信息技術(shù)服務(wù)質(zhì)量管理組織，以滿足醫(yī)院當前和未來的信息技術(shù)服務(wù)需求。a)信息技術(shù)服務(wù)管理組織醫(yī)院應(yīng)設(shè)置專職的信息技術(shù)服務(wù)管理組織，負責醫(yī)院信息服務(wù)的管理工作，最高機構(gòu)為醫(yī)院信少應(yīng)包括：2)醫(yī)院信息系統(tǒng)日常維護流程與制度的制定、執(zhí)行監(jiān)督、評估；3)對信息技術(shù)服務(wù)供應(yīng)商評估、選擇；5)對信息技術(shù)服務(wù)工作人員評價。注：醫(yī)院信息技術(shù)服務(wù)管理組織可以包括信息技術(shù)服務(wù)供應(yīng)商的組織與成員。b)信息技術(shù)服務(wù)執(zhí)行人員醫(yī)院應(yīng)設(shè)立信息技術(shù)服務(wù)崗位，并配備專職工作人員，至少應(yīng)包括：1)信息系統(tǒng)項目執(zhí)行的規(guī)劃及管理人員；2)信息系統(tǒng)服務(wù)需求分析人員；3)信息技術(shù)服務(wù)供應(yīng)商管理人員；4)信息安全管理人員。醫(yī)院信息技術(shù)服務(wù)管理人員包含醫(yī)院專職人員與信息技術(shù)服務(wù)供應(yīng)商人員。c)質(zhì)量管理組織醫(yī)院應(yīng)設(shè)置質(zhì)量管理組織，負責建立、實施、評價、改進醫(yī)院信息技術(shù)服務(wù)質(zhì)量管理制度與流程，針對醫(yī)院的各項信息技術(shù)服務(wù)進行質(zhì)量管控，確保高效高質(zhì)量的服務(wù)交付。應(yīng)對信息技術(shù)服務(wù)所需的資源，包括外部服務(wù)供應(yīng)商所需的資源進行規(guī)劃，并制定資源保障管理制5GB/T28827.8—2022b)醫(yī)院管理層應(yīng)采取措施，保障醫(yī)院信息系統(tǒng)管理所需資源的有效獲取，至少應(yīng)包括；5.5目錄與質(zhì)量應(yīng)建立并維護提供給醫(yī)院各部門、醫(yī)院服務(wù)對象的服務(wù)目錄并明確服務(wù)質(zhì)量評價方法，應(yīng)通過醫(yī)院有效開展，發(fā)現(xiàn)服務(wù)流程中的問題，并提出改進意見。至少應(yīng)a)服務(wù)對象與范圍；b)服務(wù)內(nèi)容與定性、定量評價要求；c)服務(wù)定級要求；d)服務(wù)評價與評審規(guī)范。6供應(yīng)商服務(wù)管理6.1外包服務(wù)管理應(yīng)制定外包服務(wù)管理制度與流程，至少應(yīng)包括：a)外包服務(wù)范圍與內(nèi)容；b)應(yīng)明確醫(yī)院與供應(yīng)商的職責與權(quán)力；d)外包服務(wù)人員的駐場要求，人員更換調(diào)整流程；e)文件化的服務(wù)級別管理要求。6.2服務(wù)安全要求應(yīng)制定服務(wù)安全管理制度與流程，至少應(yīng)包括：a)應(yīng)與服務(wù)供應(yīng)商簽訂安全與保密協(xié)議，應(yīng)涵蓋患者隱私保護條例；b)外部人員應(yīng)熟悉醫(yī)療就診服務(wù)相關(guān)法律，熟悉患者隱私保護要求，簽訂承諾書；c)應(yīng)制定外部服務(wù)人員的醫(yī)院信息系統(tǒng)相關(guān)權(quán)限分配與回收管理流程。6.3評估與驗收c)外包服務(wù)的服務(wù)級別管理要求；d)應(yīng)制定安裝部署的定量、定性等驗收指標；e)應(yīng)制定運行保障的驗收的定量、定性要求；6GB/T28827.8—2022f)外包服務(wù)商的績效考核要求與合約中止條件約定。7溝通與協(xié)同管理7.2協(xié)同管理a)建立用于溝通交流的通訊錄，同時具備隱私防護功能。c)建立不同級別的通知要求：建立通知反饋要求、不同級別通知要求應(yīng)采用的溝通渠道與反饋要求。確保及時宣傳信息系統(tǒng)變更、緊急情況處理等通知能及時、準確地被獲得。d)建立與醫(yī)院各科室及外部供應(yīng)商的協(xié)同管理制度與流程。e)定期評價協(xié)同管理制度與流程。7.3溝通管理溝通管理包括如下內(nèi)容：a)定期對自身工作內(nèi)容、特點、服務(wù)目錄等進行b)有完善的通知體系，能夠?qū)崿F(xiàn)通知方式升級與職務(wù)升級，并能確認通知結(jié)果；c)建立多種信息化網(wǎng)上調(diào)研方法和手段，快速了解各方的需求和想法；d)建立與醫(yī)院各科室及外部供應(yīng)商的溝通管理制度與流程；e)定期評價宣傳溝通管理制度與流程。8配置與監(jiān)控管理應(yīng)對醫(yī)院信息系統(tǒng)制定配置管理制度與流程并實施，至少應(yīng)包括：a)配置項分類分級原則；b)配置管理對象范圍及其完成率要求；c)配置項的基本信息與定級信息；d)按業(yè)務(wù)識別并管理配置項之間的關(guān)聯(lián)關(guān)系；e)建立配置管理與變更管理的關(guān)聯(lián)關(guān)系；i)將設(shè)備基本信息、設(shè)備配置文件、系統(tǒng)軟件安裝包、系統(tǒng)備份文件及媒體納入配置管理；j)確保業(yè)務(wù)系統(tǒng)運行的所有運維對象，統(tǒng)一管理網(wǎng)絡(luò)配置與數(shù)據(jù)傳輸接口需求，應(yīng)包括診療設(shè)備7GB/T28827.8—2022k)使用信息化工具進行配置管理。a)監(jiān)控范圍與監(jiān)控對象界定。b)監(jiān)控參數(shù)設(shè)置及定期優(yōu)化。3)影響的系統(tǒng)服務(wù)。d)制定監(jiān)控告警處理制度與流程。e)定義告警信息的通知方式。f)定義監(jiān)控日志及告警信息的保存期限。g)定義定期評價監(jiān)控結(jié)果和告警處理結(jié)果的要求。h)定義定期評價及改進監(jiān)控管理的要求。a)巡檢管理范圍；b)巡檢執(zhí)行方式；d)巡檢記錄要求；e)巡檢記錄保存要求；f)巡檢工作復(fù)核要求；g)巡檢作業(yè)手冊管理要求。d)符合備份恢復(fù)的RTO[恢復(fù)時間目標(RecoveryTimeObjective)]、RPO[恢復(fù)點目標(RecoveryPointObjective)]要求；f)定期進行系統(tǒng)恢復(fù)演練。8GB/T28827.8—2022a)明確應(yīng)急方案執(zhí)行響應(yīng)后的目標和效果；c)建立獨立的演練工作組，演練測試環(huán)境；d)應(yīng)急與演練方案的評價、評審要求；e)應(yīng)急與演練改進跟蹤驗證要求。9.2備用與保障圍繞針對醫(yī)院診療與運營流程，梳理出關(guān)鍵環(huán)節(jié)，并配備冗余設(shè)備，保障故障發(fā)生時能及時補充。根據(jù)不同級別系統(tǒng)，至少配備以下設(shè)備：b)終端電源保障，手術(shù)室、ICU[重癥加強護理病房(IntensiveCareUnit)]等涉及生命安全的軟件系統(tǒng)設(shè)備，應(yīng)配備UPS[不間斷電源(U