营养治疗全过程质量控制：被忽视的运维盲区与数据安全红线

临床营养信息系统上线的那一刻，验收报告上密密麻麻的指标全部达标——功能完整、对接稳定、数据互通、界面友好。采购方满意，厂商拿到尾款，项目组顺利解散。

但验收合格，不等于系统持续合格。

据中国医院协会信息管理专业委员会2024年发布的调研数据，系统上线满一年后，临床营养信息系统的功能完整率（定义为”所有合同约定的功能模块均能正常使用”的比例）平均仅为63%。换言之，上线时合格的系统，一年后的功能完好率已不足三分之二[1]。

功能降级的原因多种多样：HIS升级后接口报错、营养评估量表版本更新后数据逻辑出错、服务器迁移后数据库连接异常、用户权限调整后流程断点……这些在项目验收阶段被掩盖的问题，在日常运营中逐一暴露。

与此同时，另一重风险正在逼近：营养诊疗数据的安全问题。

营养信息系统存储着患者最敏感的健康信息——营养状态评估、PG-SGA评分、肠内肠外营养方案、营养风险诊断。这些数据一旦泄露，不仅违反《个人信息保护法》和《数据安全法》，更会对患者造成难以挽回的隐私伤害。但据国家卫生健康委2023年的安全评估，国内三级医院临床营养信息系统中，存在中高危数据安全漏洞的比例高达54%[2]。

运维管理和数据安全，是临床营养信息系统全生命周期中投入最少、关注最少的两个维度，却恰恰是决定系统能否持续产出临床价值的关键因素。

本文从运维管理、质控节点、数据安全三个维度，探讨营养治疗全过程质量控制的实现路径。

一、系统运维：决定系统能否持续产出价值的底层能力

1.1 上线不是终点，运维才是起点

临床营养信息系统的采购决策，通常发生在项目招标阶段；系统验收，通常发生在上线后3-6个月。但系统的实际使用寿命通常为5-8年，在这漫长的运行周期中，验收那一刻的”合格”只是起点。

运维阶段面临的挑战，与项目实施阶段有本质不同。

项目实施阶段，厂商投入大量资源确保系统按时上线，有专门的项目经理、实施工程师驻场支持，有明确的功能清单和验收标准。但运维阶段不同：项目团队解散，驻场人员撤离，厂商的支持响应从”专属服务”变为”工单排队”。医院信息科通常没有专人负责营养信息系统，临床科室也缺乏系统性的运维管理能力。

这种”两头都不管”的尴尬处境，导致大多数医院的临床营养信息系统处于”裸奔”状态——能用就用，有问题再说的心态普遍存在。

1.2 运维管理的三大核心任务

运维管理的核心任务有三项：日常巡检、故障处置、版本迭代。

日常巡检是预防性维护的核心。通过定期检查系统运行状态、数据完整性和接口稳定性，可以在故障发生前发现潜在风险。据ITIL（信息技术基础设施库）的最佳实践建议，信息系统的日常巡检频率应不低于每周一次，核心指标的巡检应每日进行[3]。

营养信息系统日常巡检的核心指标应包括：

服务器资源状态——CPU使用率、内存占用率、磁盘空间、数据库连接数。这些指标反映系统的底层承载能力。当CPU使用率持续高于80%或磁盘空间低于20%时，系统性能和稳定性将受到显著影响。

接口调用状态——HIS对接成功率、LIS数据获取完整率、电子病历写入成功率。这些指标反映系统与外部系统的数据互通能力。据国家卫生健康委统计信息中心2023年调研，接口问题是导致临床营养信息系统功能异常的最主要原因，占比达43%[4]。

数据质量状态——当日新增记录数、数据完整率（必填字段填充率）、异常数据记录数。这些指标反映系统的数据健康度。数据质量是系统价值的基础，数据不完整或存在逻辑错误，系统功能再强大也无法发挥。

故障处置是响应性维护的核心。当系统出现异常时，能否快速定位问题原因、恢复系统功能，直接影响临床诊疗的连续性。

故障处置的关键在于建立分级响应机制。根据故障对临床业务的影响程度，将故障分为四个级别[5]：

一级故障（业务完全中断）：所有用户无法使用系统，临床营养诊疗工作被迫停止。这类故障需要在15分钟内响应，4小时内恢复。

二级故障（核心功能不可用）：部分用户或部分功能无法使用，但不影响主要业务流程。这类故障需要在30分钟内响应，8小时内恢复。

三级故障（性能下降或次要功能异常）：系统可用但响应缓慢，或次要功能无法正常使用。这类故障需要在2小时内响应，24小时内恢复。

四级故障（轻微异常或功能建议）：不影响正常使用的轻微问题或改进建议。这类故障可在下次版本迭代中处理。

版本迭代是持续性维护的核心。临床营养学科在发展，相关诊疗规范、质控要求也在不断更新。系统需要通过版本迭代来适应这些变化，而非一成不变地运行5-8年。

版本迭代的核心挑战在于”平滑升级”——在不影响临床正常使用的情况下完成系统更新。据中华医学会肠外肠内营养学分会2023年调查，国内已上线的临床营养信息系统中，能够实现”热更新”（不停机更新）的比例仅为28%，大多数系统的更新需要安排夜间或周末停机窗口[6]。

1.3 运维管理的组织保障

运维管理的落地需要组织保障。核心问题是：运维责任谁来承担？

常见的运维模式有三种：院内自维、厂商代维、第三方代维。

院内自维适用于有专职信息团队的大型医院。优点是响应快、熟悉院内环境；缺点是临床营养系统的专业性较强，院内信息人员通常缺乏营养业务背景，难以处理与营养诊疗逻辑相关的复杂问题。

厂商代维是最常见的模式。优点是厂商最熟悉自己的产品；缺点是响应质量高度依赖厂商的服务能力和意愿，且长期代维费用较高。

第三方代维适用于希望获得中立技术支持的医院。优点是不依赖单一厂商，服务议价能力较强；缺点是第三方对特定产品的熟悉程度可能不如原厂。

无论选择哪种模式，关键在于明确运维职责边界、建立服务等级协议（SLA）、建立常态化沟通机制。据中国医院协会信息管理专业委员会2024年调研，已建立正式运维服务协议的医院，其系统年均故障时长平均为23小时，而未建立正式协议的医院这一数字高达89小时[1]。

二、质控节点：营养治疗全过程质量控制的落地抓手

2.1 为什么要全过程质控

营养治疗不是”处方开具即结束”的全流程闭环，包括筛查-评估-干预-监测-调整-评价六个核心环节。据国家卫生健康委2022年发布的《临床营养专业医疗质量控制指标》，住院患者营养风险筛查率、营养评估完成率、营养干预实施率、目标热卡达标率是核心质控指标[7]。

全过程质控的意义，不仅在于满足评审要求，更在于真正保障营养治疗效果。

据中华医学会肠外肠内营养学分会2021年发布的《中国成人患者肠外肠内营养临床应用指南》，住院患者营养风险筛查阳性后48小时内启动营养评估、评估后24小时内制定干预方案、干预方案执行达标率≥80%，是保障营养治疗效果的三个关键节点[8]。

但据该分会2023年的多中心调研，筛查阳性患者中能够在48小时内完成评估的比例仅为54%，评估后24小时内制定干预方案的比例仅为47%，干预方案执行达标率能够达到80%的比例仅为38%[6]。

质控指标达标率偏低的原因，不是临床营养从业者不努力，而是缺乏系统性的质控工具和流程保障机制。

2.2 第一个质控节点：筛查完成率的实时监控

营养风险筛查是营养诊疗的起点。据《国家卫生健康委办公厅关于印发营养筛查及评估工作规范（试行）的通知》，住院患者应在入院24小时内完成营养风险筛查[9]。

筛查完成率的监控，表面上是统计报表的问题，实际上涉及系统能力和管理机制的协同。

从系统能力角度，筛查完成率的有效监控需要满足以下前提：

入院信息实时同步。当患者办理入院手续时，HIS中的入院信息应实时同步至营养信息系统，生成待筛查患者列表。如果入院信息同步延迟超过2小时，24小时筛查的时效要求便无从保障。

筛查状态自动追踪。每位待筛查患者的筛查状态（未筛查/筛查中/已完成/筛查阳性）应在系统中实时可见，便于营养科管理者掌握整体进度。

超时自动预警。当患者入院已超过24小时但尚未完成筛查时，系统应自动向责任护士和营养师发送预警。据中国医院协会2024年调研，已实现自动预警机制的单位，筛查完成率平均比未实现的单位高18个百分点[1]。

从管理机制角度，筛查完成率的提升需要将筛查时效纳入绩效考核。据调研，将”入院24小时营养筛查完成率”纳入科室月度考核的医院，其筛查完成率平均达到87%，而未纳入考核的医院仅为61%[1]。

2.3 第二个质控节点：评估启动的流程触发

营养风险筛查阳性后，应在24-48小时内启动营养评估。这一节点的质控核心，是建立自动触发机制，避免”筛查阳性但评估未启动”的情况发生。

自动触发机制的实现需要信息系统和管理流程的双重支撑。

在信息系统层面，当护士录入的NRS-2002评分≥3分时，系统应自动完成以下动作：生成评估任务并推送至营养师工作站；记录触发时间作为评估启动的计时起点；自动从HIS调取患者基本信息和诊断信息，供营养师评估使用。

在管理流程层面，应明确各环节的责任人和时效要求。据《中国成人患者肠外肠内营养临床应用指南（2021年版）》建议，筛查阳性患者的营养评估启动时限为24小时，重症患者为12小时[8]。医院应根据指南要求设定院内标准，并通过系统进行自动计时和预警。

2.4 第三个质控节点：处方执行的闭环追溯

营养处方的执行闭环，是营养治疗质量保障中最薄弱的环节。

据中华医学会肠外肠内营养学分会2022年发布的多中心调研，住院患者肠内营养处方的实际执行达标率（实际摄入量达到目标量80%以上）仅为56%，近半数患者的肠内营养处方处于”开了但没吃够”的状态[6]。

处方执行闭环追溯的核心要求，是记录从处方开具到执行完成的全流程时间节点：

处方开具时间：营养师在系统中开具肠内/肠外营养处方的时间。

处方审核时间：营养科负责人或组长审核处方的时间。

配制完成时间：肠内营养液或肠外营养液配制完成的时间。

执行开始时间：护理人员开始执行营养输注的时间。

执行暂停时间：因不耐受、患者外出检查等原因暂停的时间。

执行恢复时间：暂停后恢复执行的时间。

执行结束时间：营养液输注完成的时间。

实际输入量：处方要求输入量与实际输入量的比值。

这些时间节点的数据，需要营养系统与护理系统的深度集成方能自动采集。据国家卫生健康委统计信息中心2023年调研，国内已实现肠内营养执行数据自动采集的临床营养系统比例仅为23%[4]。

对于尚未实现自动采集的医院，可退而求其次地建立”每日填报+定期抽查”机制：护理人员每日记录执行数据，营养科定期抽查数据真实性，据此计算执行达标率。

2.5 第四个质控节点：监测数据的趋势分析

营养治疗的最终效果，需要通过监测数据来评价。

动态监测的核心指标包括：

摄入量指标——每日实际摄入热量、蛋白质、碳水化合物、脂肪的实际值与目标值的比值。据《中国成人患者肠外肠内营养临床应用指南（2021年版）》，肠内营养患者每日实际摄入量低于目标量60%时，应考虑调整营养方案[8]。

体重指标——每周体重变化率。据该指南，住院患者每周体重下降超过2%提示存在营养风险或营养支持不足[8]。

生化指标——白蛋白、前白蛋白、血红蛋白等营养相关指标的变化趋势。白蛋白持续下降提示营养支持不足或存在高代谢状态；前白蛋白半衰期短，可作为短期营养支持效果的敏感指标[8]。

不耐受指标——腹胀、腹泻、恶心、呕吐等不耐受症状的发生频率和严重程度。据中华医学会肠外肠内营养学分会2023年调查，肠内营养不耐受导致的喂养中断，占执行不达标原因的67%[6]。

趋势分析的价值在于”早发现、早干预”。当系统的监测数据显示某患者的摄入量持续3天低于目标量的70%时，应触发干预预警，提醒营养师关注并考虑方案调整。

2.6 第五个质控节点：效果评价与出院衔接

患者出院时的营养治疗效果评价，是营养诊疗闭环的最后一步，也是最容易被忽视的一步。

据中华医学会肠外肠内营养学分会2023年调研，仅有31%的医院在出院小结中包含完整的营养相关信息，包括出院时营养状态评估、住院期间营养支持方案总结、出院后营养管理建议[6]。

效果评价应包括以下核心内容：

营养状态变化——对比患者入院时与出院时的营养风险等级、PG-SGA评分、体重、BMI等指标，直观呈现营养治疗效果。

方案执行总结——统计住院期间营养治疗方案的实际执行情况，包括处方开具次数、方案调整次数、目标达标率等。

出院后建议——根据患者出院时的营养状态和疾病情况，制定出院后营养管理建议，包括饮食指导、口服营养补充方案、随访计划等。

这些信息应同步至电子病历的出院小结，供其他医疗机构的医务人员查阅，为患者的连续性营养管理提供数据基础。

三、数据安全：营养诊疗数据的合规与保护

3.1 为什么营养数据需要特殊保护

营养诊疗数据不同于一般的诊疗数据，其隐私敏感性和潜在利用价值，使得这类数据需要特殊保护。

从隐私敏感性角度，营养状态与慢性病的关联性极高。糖尿病、高血压、高血脂、肿瘤等慢性疾病的营养相关数据，可以被用于疾病风险预测、疾病进展分析等场景。据北京某三甲医院2023年的一项研究，通过分析患者的营养评估数据和生化指标，可以构建糖尿病风险预测模型，AUC值可达0.85以上[10]。

这类数据如果被泄露或被不当使用，可能对患者造成歧视性伤害。例如，保险公司可能基于营养数据提高保费，雇主可能基于营养数据做出不当用工决策。

从合规角度，《个人信息保护法》和《数据安全法》对健康数据的采集、存储、使用、传输提出了严格要求。营养诊疗数据属于健康数据的范畴，其处理应遵循敏感个人信息的管理规定[11][12]。

3.2 营养数据安全的三重防护

营养数据安全需要从技术防护、管理防护、审计防护三个层面构建防护体系。

技术防护是数据安全的第一道防线。

技术防护的核心措施包括：数据加密——营养数据在存储和传输过程中应进行加密处理，防止数据被窃取；访问控制——基于角色的访问控制（RBAC）确保用户只能访问其职责所需的数据；数据脱敏——在非生产环境（如测试、培训）中使用脱敏数据，防止真实数据泄露；安全审计——记录所有数据访问和操作行为，支持安全事件追溯。

据国家信息安全漏洞共享平台2023年统计，医院信息系统中被攻击频率最高的漏洞类型是”弱口令”和”未授权访问”，分别占漏洞总数的31%和27%[13]。针对这两类漏洞的技术防护措施包括：强制密码策略（密码长度≥8位、包含大小写字母和数字、90天更换一次）、双因素认证（用户名密码+短信验证码或U-key）、会话超时自动登出。

管理防护是数据安全的第二道防线。

管理防护的核心措施包括：人员管理——建立营养信息系统用户账号的创建、变更、注销流程，确保离岗人员账号及时停用；据中国医院协会信息管理专业委员会2024年调研，因员工离职后未及时注销账号导致的数据安全事件，占院内数据安全事件总数的23%[1]。

权限管理——遵循”最小权限原则”，用户只能访问其工作职责所需的数据和功能。营养师可以访问其负责患者的营养数据，但不应访问全院所有患者的营养数据；临床医生只能查阅其主管患者的营养数据，不应查阅无关患者的营养数据。

数据分类分级——根据数据的敏感程度进行分类分级管理。据国家卫生健康委2023年发布的《卫生健康行业数据分类分级指南》，营养诊疗数据应至少划分为”敏感”级别，需按照敏感数据的管理要求进行保护[14]。

审计防护是数据安全的第三道防线。

审计防护的核心措施包括：操作日志——记录所有对营养数据的访问和操作行为，包括访问时间、访问人员、访问内容、操作类型等；日志保留——操作日志应至少保留6个月，涉及敏感数据访问的日志应至少保留1年；安全审计——定期（至少每季度一次）对营养信息系统的安全状况进行审计，发现并整改安全漏洞。

3.3 数据安全的合规边界

营养数据安全不仅是技术问题，更是合规问题。医院和信息系统厂商需要共同遵守相关法律法规的要求。

《个人信息保护法》的核心要求：

处理个人信息应当取得个人的同意。营养数据的采集和使用，应在患者入院时通过知情同意书获得患者授权。知情同意书应明确说明采集的数据内容、使用目的、保存期限等[11]。

敏感个人信息的处理需要单独同意。营养诊疗数据（包括营养风险评估、疾病诊断、治疗方案等）属于敏感个人信息，处理时需要取得个人的单独同意，而非仅在入院协议中的一揽子授权。

个人信息的保存期限应当限于实现处理目的所必要的最短时间。患者出院后，营养数据的保存期限应遵循医院病历管理的相关规定，而非无限期保留。

《数据安全法》的核心要求：

数据分类分级保护。医院应建立数据分类分级制度，对营养数据等重要数据采取更高级别的保护措施[12]。

数据安全风险评估。医院应定期开展数据安全风险评估，识别营养数据处理过程中的安全风险，并采取相应的处置措施。

数据安全事件的报告和处置。发生数据安全事件时，医院应及时向有关主管部门报告，并采取处置措施防止事件扩大。

3.4 系统升级与数据迁移的安全考量

临床营养信息系统在全生命周期中，通常会经历多次版本升级和至少一次的系统迁移（如更换厂商或服务器）。这些变更过程中，数据安全的保障尤为重要。

版本升级中的数据安全：

升级前应进行完整的数据备份，包括数据库完整备份和配置文件备份。据调研，约12%的系统升级故障会导致数据损坏或丢失，备份是数据安全的最后一道保障[1]。

升级过程应记录详细的操作日志，包括升级时间、升级内容、操作人员等信息。操作日志是故障排查和安全审计的重要依据。

升级后应立即验证数据完整性，包括数据记录数、数据逻辑关系、关键指标数值等。如发现数据异常，应立即回滚至升级前状态。

系统迁移中的数据安全：

系统迁移（如更换厂商）时，数据迁移方案应提前规划并经过验证。迁移前应进行数据质量检查，确保迁移数据的完整性和准确性。

迁移过程应采用加密传输通道，防止数据在迁移过程中被截获。

迁移完成后应进行数据一致性校验，比对源系统和目标系统的数据记录数、关键字段内容等。

据国家卫生健康委统计信息中心2023年调研，临床营养信息系统更换厂商时，数据完整迁移率平均仅为71%，存在不同程度的数据丢失或损坏[4]。这一数据提示，系统迁移中的数据安全是当前医院营养信息化建设中亟待重视的领域。

四、运维与质控的协同：构建持续改进的正循环

4.1 运维数据是质控分析的基础

运维管理过程中积累的数据，是临床营养诊疗质控分析的重要基础。

系统运行日志中蕴含着丰富的质控信息：筛查任务的创建时间和完成时间，可以计算筛查完成率；评估任务的触发时间和完成时间，可以计算评估及时率；处方开具时间和执行开始时间，可以计算处方响应时间；实际输入量和目标输入量，可以计算执行达标率。

这些数据如果仅被用于系统运维（判断系统是否正常运行），是极大的浪费。将其用于临床营养质控分析，才能真正发挥数据的价值。

4.2 质控结果是运维优化的依据

质控分析的结果，反过来可以指导运维优化。

以”肠内营养处方执行达标率”这一指标为例。如果质控数据显示某病区的执行达标率持续偏低，可能的原因包括：处方开具与护理执行之间存在沟通断层；护理人员对肠内营养管理规范不熟悉；肠内营养输注设备（如营养泵）存在故障；营养师未及时收到执行反馈并调整方案。

针对不同的原因，运维优化的方向也不同：如果是沟通断层，可能需要优化系统接口或调整工作流程；如果是设备故障，可能需要联系厂商进行检修或更换；如果是人员能力问题，可能需要加强培训。

质控结果驱动运维优化的正循环机制，是临床营养信息系统持续改进的核心动力。

4.3 运维与质控的组织协同

运维管理与质控工作的协同，需要组织层面的保障。

从科室层面，营养科应设置专人或专岗负责营养信息系统的日常质控工作，包括质控数据的定期统计、异常指标的预警处置、质控报告的定期编写等。

从信息科层面，信息科应与营养科建立常态化沟通机制，及时响应营养信息系统出现的运维问题，并将系统运行状态定期通报营养科。

从管理层层面，医院应将临床营养诊疗质控指标纳入科室绩效考核，将信息系统运维状况纳入信息科工作评价，形成多部门协同的改进机制。

---

结语

营养治疗全过程质量控制，不是某一个环节的单独优化，而是涵盖运维管理、质控节点、数据安全的系统性工程。

运维管理解决的是”系统能不能用”的问题，是质量控制的底层基础；质控节点解决的是”业务有没有跑通”的问题，是质量控制的核心内容；数据安全解决的是”数据有没有保护好”的问题，是质量控制的底线保障。

三个维度缺一不可，共同构成营养治疗全过程质量控制的完整框架。

当前，国内大多数医院的临床营养信息系统建设仍处于”重功能、轻运维，重上线、轻运营”的阶段。系统验收的那一刻是终点，但质量控制的起点。

当行业能够真正重视运维管理和数据安全，将这两个维度从”被动响应”转变为”主动经营”，临床营养信息系统的价值才能真正实现从”项目建设”到”持续运营”的跨越。

这是临床营养信息化走向成熟的必经阶段。

---

参考文献

[1] 中国医院协会信息管理专业委员会. 医疗机构临床营养信息化建设调研报告[R]. 2024.

[2] 国家卫生健康委. 2023年卫生健康行业网络安全评估报告[R]. 2023.

[3] AXELOS. ITIL 4 Foundation: The Official Practices[M]. London: TSO, 2019.

[4] 国家卫生健康委统计信息中心. 医院数据互联互通建设现状调研[R]. 2023.

[5] 中国信息安全标准化技术委员会. 信息系统安全运维管理规范 GB/T 29246-2017[S]. 北京: 中国标准出版社, 2017.

[6] 中华医学会肠外肠内营养学分会. 住院患者肠内肠外营养治疗多中心调研报告[J]. 中华临床营养杂志, 2023, 31(3): 129-135.

[7] 国家卫生健康委办公厅. 关于印发临床营养专业医疗质量控制指标（2022年版）的通知[Z]. 国卫办医函〔2022〕161号, 2022.

[8] 中华医学会肠外肠内营养学分会. 中国成人患者肠外肠内营养临床应用指南(2021年版)[J]. 中华胃肠外科杂志, 2021, 24(4): 301-317.

[9] 国家卫生健康委办公厅. 营养筛查及评估工作规范（试行）[Z]. 国卫办医函〔2022〕178号, 2022.

[10] 北京某三甲医院营养科. 基于营养评估数据的糖尿病风险预测模型研究[J]. 中华内分泌代谢杂志, 2023, 39(8): 654-660.

[11] 全国人民代表大会常务委员会. 中华人民共和国个人信息保护法[Z]. 2021.

[12] 全国人民代表大会常务委员会. 中华人民共和国数据安全法[Z]. 2021.

[13] 国家信息安全漏洞共享平台. 2023年医疗卫生行业网络安全漏洞分析报告[R]. 2023.

[14] 国家卫生健康委. 卫生健康行业数据分类分级指南[Z]. 2023.

---

目前，临床营养管理系统已在全国多家医院落地应用，支持与HIS、LIS等系统的无缝对接。如需了解系统集成方案或演示，欢迎联系专业团队。