从医院网络瘫痪谈起
2004.05.18 6版 在线
可以说从计算机网络诞生之日起,网络安全话题一直为人们所关
注。随着社会的发展,越来越多的企业和医院依赖网络运转,一旦出
现事故,不仅工作中断,还会带来巨大的社会负面影响。
不久前,北京某三甲医院网络瘫痪,京城的当地媒体纷纷报道;
北京首都国际机场民航定票系统瘫痪几个小时,当晚央视《新闻联播》
曾予以报道,可见网络瘫痪造成的影响力之大。
对高度依赖网络的企业来说,管理层和网络部门承受着“不能停
机”的巨大压力。但事实上,有些天灾人祸是不可预测的。面对“网
络系统不可能永不停机”这一事实,就需要我们不仅在预防上动脑筋,
还要在灾难事故发生的时候能够应对,以期将事故带来的影响和损失
降到最小。建立减灾系统,就要制定完善的业务持续计划(BCP)和I
T灾难恢复计划(ITDRP)。
BCP与传统的灾难恢复计划不同,其更偏重信息技术的问题,对
于信息化依赖程度高的现代企业,IT灾难恢复是BCP的重要组成部分。
在国际上,美国对于企业BCP有明确的法律上的要求,英国把BCP
作为企业上市的基本要求,在新加坡一些政府机构已经颁布BCP的管
理标准或标准流程。
美国“9·11”事件爆炸发生几分钟后,位于世贸大厦的Merrill
Lynch公司就将主要管理业务功能转移到新泽西的指挥中心,随后按
照BCP计划8000名员工重新部署,并于9月17日恢复运作。
同项目管理一样,在整个业务持续管理(BCM)上,是一个完整
的管理流程,其中组织机构是基本的保证,类似建立一个安全委员会
的机构。机构负责项目的规划、风险以及相关影响的分析,进行BCP
的战略制定,着手计划的开发,全员培训以及定期的测试演练。以后
将对计划不断地完善和更新。
在具体落实上,高层管理人员的认可支持、整体规划和各个部门
的协调、达成共识、设立专职部门负责日常事务、建立良好的沟通机
制都很重要。甚至有人强调指出:沟通,沟通,再沟通。对于风险要
具有远见性的分析,要保证必要的资源投入。
在去年SARS期间,国内少数IT公司启动了BCP,但只是简单的风
险防范管理机制。而相当多的机构业务处于半停滞,甚至完全停滞状
态。北京多家医院在政府的统一协调下,投入抗击SARS的战斗。然而
不少医院在其内部协调和管理上以行政命令为主导,缺少规范性,一
定程度上出现了混乱和资源的不合理利用。事后,很多医院纷纷出台
了所谓的“预案”,从组织机构上、资源配置上以及管理流程上给予
了保证。但是,这只是针对已知SARS的,应对其他风险的“预案”仍
然考虑不足。
事实上,医院里计算机室普遍不如临床科室受重视。在领导看来,
信息科室就是个不断投入而且不产出效益的部门,人力资源投入少,
医院计算机室的工作人员相当辛苦,系统一出问题饱受责难,技术人
员待遇比不上临床医务人员,更不及公司职员。尽管有着不少的技术
防范和监控手段,但仍无法杜绝IT灾难事故。所以对医院决策层来说,
不要把网络事故单纯地看成IT技术问题,应该与医院的整个风险管理、
业务持续计划的制定紧密结合在一起。
就如上文中提及的医院,在网络瘫痪后,组织抢修网络的同时,
应该优先考虑正常医疗业务流的进程,不要出现没有了计算机就做不
了工作的现象。启动全面的业务持续计划,甚至包括公共关系的处理,
比如对病员的疏导解释劝说工作、与外界公众尤其是媒体进行沟通、
澄清,最大限度降低负面影响。
就实际制定BCP而言,并非是医院、企业自己独立完成的。国际
上的通行做法是,请咨询公司进行深入的调研后与客户进行充分讨论,
才能提交一份完整的咨询建议书。整个的完成项目也同样需要一定的
周期。
目前,国内只有美国IBM等少数外资公司经营此项业
务,国内部分咨询公司也有类似的培训工作。然而对于医疗领域这一
特殊的行业而言,需要探讨的东西还很多。 |
发表于 2004-5-20 10:36:34