중소병원 개인정보보호 내부관리계획 및 지침,매뉴얼 작성 방법 (2)

※ 글 순서

▶ 1. 개인정보보호 내부관리계획 수립 및 계획 안

2. 보안부서 운용 관리계획 

3. 각종 보안 지침서 작성 (접근권한, 외주용역 보안교육, 보안감사, 보안시스템, 물리적 보안 등)

4. 직원교육 (재직자, 신규 등)

5. 의료기관 인증 (12.4 개인정보보호 및 보안규정) 관련

6. 의료기관 정보보호 자율점검 서비스, 교육이수 , 세미나

7. 서식 자료

 

(참고) 보안팀이나 정보보호 전담부서가 없는 중,소병원을 대상으로 합니다.

---

1. 내부관리계획 수립 안 작성

1) 내부관리계획 작성 및 결재

내부관리계획서는 KISA나 공개된 자료를 참고로 해서 작성하면 된다. 비교적 구하기도 쉽고 표준 안이 있으므로 그대로 변경해서 사용하도 무방하다.

 

▶ KISA 제공 내부관리계획 작성 방법

(별첨자료)_개인정보 내부 관리계획 및 처리 위탁 계약서 등.hwp

0.08MB

 

다만 내부관리계획안의 경우는 계획서이므로 반드시 병원 사정을 고려하여 작성하되, 작성된 내부관리계획은 반드시 '개인정보관리자' 및 '병원장'의 결재를 승인 후 원본을 보관하고 스캔이미지 등과 함께 병원 홈페이지 등을 통해서 임,직원에게 공개하고 공유할 수 있도록 해야 한다.

내부관리계획은 임,직원에게 공개되는 문서이다. 홈페이지에 공개하는 '개인정보처리방침' 과는 다르다는 점을 기억하기 바란다.

 

▶ 개인정보보호 내부관리계획 작성 예)

[그림1.1] 개인정보보호 내부관리계획 표지 및 개정이력

[그림1.2] 개인정보보호 내부관리계획 목차

[그림1.3] 개인정보보호 내부관리계획 지침서 목록 / 별표

 

▶ 내부관리계획서 결재서류(예) [서식]

BSEC-F-026 개인정보보호 내부관리계획서(예).pdf

0.35MB

 

 

▶ 병원 사내 홈페이지 공개(예)

[그림1.4] 홈페이지 관리자를 통해 별도 게시판 생성 예

2) 매년 작성 해야 하는가?

내부관리계획서는 매년 작성해야하는데, 보안 예산이 많거나 정보보호팀이 있는 경우는 업무의 다변화 및 예산 반영, 정보시스템 변경 등의 이슈 등으로 계획서 내용이 매년 다르지만, 작은 병원의 경우는 그렇지가 않다.

정보시스템 변경 이슈 등을제외한다면 거의 없다고 봐도 된다. 그렇다고 해서 년도만 바꾸어서 작성하면 안되고, 반드시 개인정보보호법 등이나 관련 지침사항 등을 보고 변경사항이 있는 지 검토 후 내부관리계획에 반영을 하여야 한다.

 

3) 내부관리계획에 추가해야 할 서류

병원마다 다르겠지만, 필자의 경우 '보안부서관리계획', '임직원 보안교육계획', '보안점검 및 감사계획' 을 포함하여 경영진에게 보고하도록 했다.  그래야 중복 보고가 없고, 내부관리계획에 포함된 구체적 실천사항이 반영된 계획도 한꺼번에 보고가 가능하기 때문이다.

 

 

※ 서식이 필요한 분은 개인적으로 연락주시면 확인 후 제공하겠습니다.