診所上雲是健保署這今年的重要政策,健保署署長石崇良多次在公開場合中說明,衛福部要打造一朵健保雲,讓醫資廠商上架自家服務、供診所選用,好降低診所IT維運困擾、提高資安保障。
這是一項衝擊產業的新政策。因為,受醫療產業特性影響,不論是醫院、診所還是醫資廠商,長年來都習慣發展地端系統,來維持院所營運。但現在,健保署要改變這個習慣,今年初數發部數位產業署還加入聯手,發起第一屆診所雲端資訊服務系統研發補助計畫,來鼓勵醫資廠商投資開發雲端服務,先加速診所轉型。
專攻牙科診所醫療資訊系統(HIS)的台灣牙e通,就是其中一家通過審核的診所IT廠商。對他們來說,打造雲端服務並不難,因為,他們成立之初就擁抱雲端,不必像許多醫資廠商,現在得為新政策重建一套雲端版本服務。
用雲的4大考量
但雲帶來哪些好處,值得這家年輕公司一開始就押寶?
台灣牙e通技術長汪庭宇指出,系統擴展性、IT維運和資安,都是他們決定用雲的關鍵。作為一家廠商,得思考未來客戶(即診所)數量增加時,系統架構能否因應使用需求,「比如從10家增加到100家、1,000家的規模,」透過雲平臺可彈性擴展、調度資源,解決這個問題。
再來,採用雲端架構也能降低IT維運人力成本。汪庭宇坦言,自家最初的產品提供雲端和地端兩種方案,若診所購買地端方案,得自行準備機房和主機,他們再派人去部署系統。後續,系統故障、需要升級或遇到健保規範更新時,他們也得派人到每家診所處理系統。
這就帶來一大問題,要是地端用戶數量很多,台灣牙e通就得撥出大量人力到每家診所更新,衍生出龐大的人力成本,維運效率也不高。但透過雲端架構集中管理,後端系統只需調整一次,就能完成所有客戶端的系統更新,不必一一到診所手動安裝或升級,大大降低業者的維護成本。
對牙e通來說,用雲也能提高診所端的資安防護。臺灣多數牙醫診所的規模小、IT人力稀缺,採用地端版本得自己管理機房和主機,診所很難有套嚴謹的資安流程來把關,若全權委外,還得額外付出一筆維護費用。但透過雲端架構,則由資服業者和公雲業者統一控管資安,不必派人到診所管理外,資訊流動也全程加密,比部署在診所的地端模式更安全。
不只如此,台灣牙e通研發副總傅懷磊補充,上雲還能解決備份和災難復原問題。因為地端系統得靠診所自己定期備份資料庫內容,資服業者難以介入,但改用公雲,業者可以直接啟用雲平臺上完善的備份和災難復原機制,「一旦資料發生問題,大都很快就恢復。」
因此,對他們來說,採用雲端服務不只能降低廠商的人力和管理成本,還能更有效率執行服務更版和升級。這是為何台灣牙e通後來決定,只提供雲端方案的原因。而他們採用在臺設有資料中心的公雲平臺,來部署牙科診所HIS。
如何用雲端架構打造系統服務
就系統資料流來說,負載平衡器是這個HIS架構的第一道關鍵。傅懷磊指出,這個平衡器專門接收各診所端瀏覽器發來的請求,並根據負載高低,自動調度網路流量。負載高時,負載平衡器會擴增虛擬機器數量,來調度較多的流量支援;負載低時,則會減少機器數量與流量。這個高效能、低延遲的負載平衡器,能帶給使用者良好的使用體驗。
接著,負載平衡器將流量導向下一個關鍵工具:API伺服器,來將用戶端請求,分派到相對應的資料庫,再將處理結果回傳至用戶端。舉例來說,當診所網頁應用發出一個掛號請求,該請求經過負載平衡器,會由API伺服器決定資料流向,將請求發送至相關的資料庫,來進行後續處置,再將處置結果回傳到診所網頁。
在系統架構設計上,這個API伺服器採微服務架構,可視為好幾個小型服務,部署在Google Kubernetes Engine容器平臺上來管理。不只是API伺服器,傅懷磊點出,他們也將牙科HIS拆解為一支支微服務,部署到GKE來管理。採用微服務帶來許多好處,比如更容易客製化調整,這是因為,每支微服務相互獨立,能各自開發、測試、部署和維護,就算更新一支微服務,也不會影響整套系統,能降低部署風險、提高開發彈性。
不過,傅懷磊表示,以微服務框架來開發產品系統,「非常考驗研發團隊對產品的認知。」
因為,微服務的設計,是將大型應用程式拆解為小型服務,「如何正確拆解,與產業Know-how高度相關。」他舉例,台灣牙e通有支健保微服務,負責管理所有健保規則。這些規則來自外部的第三方,也經常隨著健保署政策而變動,因此,適合以一支微服務來處理所有規則變化,而不是併到其他業務的微服務中。
台灣牙e通技術長汪庭宇指出,相較於傳統地端系統,採用公雲服務打造牙科醫療資訊系統(HIS),更能因應業務擴展、IT維運、災難復原和資安等需求。 (攝影/洪政偉)
最大挑戰是市場接受度
話鋒一轉,汪庭宇指出,用雲最大的挑戰不是技術,反而是市場接受度。「我們花了非常多時間與市場溝通,不斷和每一位醫生、院所從頭解釋為何採用雲端,這個成本其實蠻高的。」傅懷磊補充。
汪庭宇也解釋,牙科產業不熟悉雲端服務形式的產品,容易因為不理解而懷疑或抗拒。比如,診所使用者常認為,資料存放在本地端機房比較安全、存放在雲端會有資安風險。
每每遇到這個疑問,團隊就得與診所解釋,相較於診所自己撥出空間建機房、接電源、管理主機,通過國際資安認證的公雲業者,其資料管理、備份備援機制、電源穩定性甚至是散熱等配套,都會比小診所的環境來得嚴謹。
後來,牙e通業務人員將溝通中常見的上雲問題,製作成說明簡報,每次介紹產品前,會先說明雲端架構的優劣,讓潛在客戶理解基本上雲觀念。今年全面實施這個作法後,也帶動業績大幅攀升。
4個月通過兩項ISO認證
帶動業務成長的不只是強化上雲說明,台灣牙e通認為,主力產品在去年一口氣獲得2項國際ISO資安認證也是一大原因,包括ISO 27001:2022資訊安全管理系統和ISO 27701:2019隱私安全管理系統,號稱是全臺第一家通過這兩項認證的牙科HIS廠商。
汪庭宇和傅懷磊分別身兼資安管理委員會主委、資安團隊代表,汪庭宇回憶,起初,因為不熟悉這兩項驗證,他們尋求外部顧問,要來協助公司建立合規的資安體系。
顧問加入後,牙e通開始建立內部資安團隊和文化,找來研發人員、產品經理等人分工,一起組成資安工作小組,也開始按照兩套ISO規範,來建立相對應的工作流程。完成這些任務後,便是稽核與取證,整個過程僅4個月。
在這個0到1的取證階段中,團隊吃了不少苦,尤其是得改變原有作業習慣。傅懷磊指出,ISO規範了許多必要流程,以系統調整為例,過去,他們開會討論、決定後就分工執行,再定期會議檢討即可。但依ISO規範,會議需要留下文件記錄,比如何人批准、何人負責稽核系統變更等,「工作流程中需要安插大量文件記錄,來保護整體流程。」
起初,研發團隊非常不習慣,「但,久了會發現,ISO這樣要求有其道理,可以避免人為疏失和不必要的錯誤。」他表示,甚至這套做法,還能讓團隊思考以前輕忽的議題,比如軟體災難發生時,安全小組要在多少時間內恢復系統。「我們的目標是2小時,整個團隊都要動員來搶救,讓系統恢復運作。」傅懷磊指出:「ISO就像一套自我反省的流程,只是需要文件化來表達。」
不只如此,汪庭宇還分享一個小插曲。「外部顧問中途離職了,產生許多銜接問題,」他繼續說,團隊在某種程度上,等於在沒有顧問的情況下自立自強準備稽核。傅懷磊回憶,稽核前兩周,「資安小組每天一早到辦公室,就重新把上百條條文全部看一次,找出可能還有問題的地方來改善!」正因為這個意料外的挑戰,激起團隊凝聚力,在例行工作之餘共同鑽研條文,最後在沒有顧問陪同的情況下進行稽核,連稽核單位也佩服他們的用心。「這是我們很驕傲的地方,」汪庭宇說。
給臺灣醫資業者上雲的兩個建議
於是今年初,數發部推出醫資廠商上雲的補助計畫時,台灣牙e通就立即申請,也成功獲選。不過,因獲選名單分兩階段公布,得知時程較晚,牙e通已重新調整年度目標而沒有繼續執行,決定明年再接再厲。
不過,他們在參與政府說明會過程中,觀察到同業可能面臨的2大挑戰。尤其,大多數醫療資服業者提供地端版診所系統,現在得要重新思考技術變革。比如,重新建構滿足延展性和穩定性的架構、控管雲端流程和資安配套等。特別是,雲端作業方式是一臺伺服器對許多家診所,不像地端一臺伺服器對應一家診所,醫資廠商需考慮雲端系統穩定性、反應速度和伺服器維護等細節,得要投入更多人力到研發中。此外,地端產品不習慣採取加密傳輸,但上雲端得全程加密,這也是個技術課題。
第二個挑戰是,地端產品的醫資廠商得要找出新商業模式。過去,地端系統採買斷制、每年加收維護費,但雲端服務多採訂閱制,地端廠商得要找出診所能接受,且符合自身成本效益的收費平衡才行。
熱門新聞
2024-12-08
2024-12-08
2024-11-29
2024-12-08