중소병원 개인정보보호 내부관리계획 및 지침,매뉴얼 작성 방법 (8)

※ 글 순서

1. 개인정보보호 내부관리계획 수립 및 계획 안

2. 보안부서 운용 관리 계획 

▶ 3. 각종 보안 지침서 작성 (접근권한, 외주용역 보안교육, 보안감사, 보안시스템, 물리적 보안 등)

4. 직원교육 (재직자, 신규 등)

5. 의료기관 인증 (12.4 개인정보보호 및 보안규정) 관련

6. 의료기관 정보보호 자율점검 서비스, 교육이수 , 세미나

7. 서식 자료

(참고) 보안팀이나 정보보호 전담부서가 없는 중,소병원을 대상으로 합니다.

---

3.5 물리적 보안

1) 개요

물리적 보안은 중요 자산을 훼손, 변조, 도난, 유출 등 다양한 형태의 침해 위협으로부터 보호하기 위한 물리적 보안 세부사항을 정의하는데 목적이 있다.

물리적 보안이 필요한 곳은 중요 지역으로 설정하고 츨입 통제를 할 수 있도로 해야 한다.

전산실이나 기계실의 경우 반드시 통제구역으로 설정하여, 전산실 직원이외에 출입을 엄격히 제한하고, 외주 용역 업체 및업무상 필요한 경우에 대해서도 출입대장을 작성하도록 한다.

'출입통제시스템'을 구축하여서 전자적으로 출입 기록을 관리해도 좋고, 여유가 없는 병원에서는 수기로라도 반드시 '입출입대장'을 작성하여야 한다.

서버실에는 다양한 정보자산을 관리하고 있는 장비들이 많다.

서버실에 외주업체나 수리 목적으로 방문을 하는 경우에는 사전에 '작업신청서'를 작성토록 하고 , 전산팀장의 승인 후 담당자 동행하에 출입토록 한다.  출입대장을 정기적으로 점검할 때, 작업신청서와 대조하여서 누락이 없도록 해야 한다.

 

2) 물리적 보안 지침서 작성

물리적 보안지침서는 크게 1) 보호구역 설정,  2) 출입관리,  3)장비보안,  4) 사무실 보안관리 으로 작성한다.

 

보호구역은 정보자산의 유무와 중요도를 감안하여 '통제구역', '제한구역', '접견구역'으로 나누도록 하고 안내판 등을 설치하여 식볋하도록 한다.

통제구역과 제한구역은 직원증이나 출입카드를 통해서 출입통제가 이루어 질 수 있도록 해야한다.

청소요원이나, 외부직원의 출입 시에도 출입통제가 잘 이루어 질 수 있도록 별도 관리하여야 한다.

 

전산장비의 경우 해당 병원의 중요한 정보자산이다. 

그래서 장비나 정보자산이 외부로 반출이 되는 경우는 전산팀장 및 경영진의 승인을 받도록 해야 한다.

정보자산이 외부로 반출이 되는 경우는 대부분 폐기의 목적으로  이루어지는 경우가 많은데, 폐기하는 경우 안전하고 복구 불가능한 방법으로 폐기가 이루가 질 수 있도록 하고, 관련 증적자료 및 기록을 남길 수 있도록 조치해야 한다.

외부 업체를 통해 폐기 하는 경우 반드시 계약서에 관련 사항을 넣도록 하고, 보안서약서 작성 등 관련 서류도 작성하도록 한다.

 

▶ 물리적 보안 지침서 작성 예

▶ 전산(기계) 실 출입 대장 서식 예

▶ 정보자산 반/출입 관리 대장 서식 예

3) 기타

물리적 보안은 의료기관 인증 시, 상급종합병원의 경우 ISMS 인증 시 가장 기본적으로 확인하는 사항이다.

기본적이지만, 의외로 잘 관리를 하지 못하는 경우가 많고, 임직원들도 소홀하게 생각하는 경우가 많으므로 반드시 지침을 작성하고 게시판이나 그룹웨어를 통해서 공유하고 정보보호교육도 같이 시행되도록 한다.

 

 

 

※ 서식이 필요한 분은 개인적으로 연락주시면 확인 후 제공하겠습니다.