중소병원 개인정보보호 내부관리계획 및 지침,매뉴얼 작성 방법 (4)

※ 글 순서

1. 개인정보보호 내부관리계획 수립 및 계획 안

2. 보안부서 운용 관리 계획 

▶ 3. 각종 보안 지침서 작성 (접근권한, 외주용역 보안교육, 보안감사, 보안시스템, 물리적 보안 등)

4. 직원교육 (재직자, 신규 등)

5. 의료기관 인증 (12.4 개인정보보호 및 보안규정) 관련

6. 의료기관 정보보호 자율점검 서비스, 교육이수 , 세미나

7. 서식 자료

 

(참고) 보안팀이나 정보보호 전담부서가 없는 중,소병원을 대상으로 합니다.

---

3.1. 보안지침서 - 개인정보 접근권한 및 통제관리 지침서 작성

1) 개인정보 접근권한 및 통제관리 지침

의료기관 인증조사(12.4) 나 보안관련 점검 시 가장 많이 확인하게 되는 지침서 중 하나이다. 

그만큼 제대로 만들어 놓고, 또한 임직원들이 잘 숙지할 수 있도록 지침공개나 교육도 병행되어야 한다.

병원의 접근권한은 의료정보시스템(OCS, EMR)에 대한 접근권한 정책을 말한다.

 

▶ 접근권한 통제관리 지침서 작성 예

접근권한 통제관리 지침서 일부

접근권한 및 통제관리 지침은 전산팀과 의무기록팀(실)과 연관이 많다. 

의료기관 인증 조사 시 의료정보에 대한 접근권한을 의무기록실에서 담당하는 경우가 많고 질문도 의무기록 담당자에게 의견을 묻는 경우가 많기 때문에 가급적 전산실 보안담당 직원이 같이 배석하는 것이 좋으며, 해당 지침서도 같이 제출해서 질문을 최소화 할 수 있도록 하는 것이 좋다.

접근권한에 대한 지침과 매뉴얼도 가급적 의무기록실 직원과 공유하고 수정이나, 의견 반영도 같이 하는 것이 바람직하다.

 

2) 의료정보시스템 접근 권한 생성(변경) 신청서 수령

신규 직원이 입사하는 경우는 '보안서약서'와 '의료정보시스템 접근권한 신청서'를 같이 수령할 수 있도록 총무과나 인사부서에 미리 2가지 서식을 제공해주고 수령할 수 있도록 협조를 구하자.

뿐만아니라, 부서가 변경되는 경우에도 반드시 '접근권한 변경 신청서'를 수령해서 보관하고 시스템에 반영하도록 한다.

 

▶ 의료정보시스템 접근 권한 생성(변경) 신청서 서식 예

3) 의료정보시스템 접근 권한 생성 및 변경 이력 관리

EMR 프로그램에서 접근권한에 대한 변경 이력이 관리 되는 지도 살펴보아야 한다.

대장으로 관리하는 경우도 있지만, 쉽지가 않기 떄문에 프로그램으로 관리가 되도록 한다.

경우에 따라서 별도 프로그램에 존재하지 않고 데이터베이스 LOG 형태로만 관리하는 경우가 있는데 접근권한에 대한 주기적 검토가 이루어 질 수 없기 때문에 반드시 별도 프로그램으로 구현하도록 한다.

개인정보보법에서는 개인정보시스템에 대한 접근 권한의 부여ㆍ변경ㆍ말소 등에 관한 기준의 수립ㆍ시행하도록 하고, 

" 개인정보처리자의 접근권한 부여, 변경, 말소에 대한 내역은 전자적 혹은 수기로 작성한 관리대장: 최소 3년간 --> 의료기관에 해당

정보통신서비스 제공자 등은 개인정보처리시스템에 접근권한 부여, 변경, 말소 내역을 전자적 혹은 수기로 작성한 관리대장 등에 기록, 해당기록은 최소5년간 보관" 하도록 하고 있다.

 

 

※ 서식이 필요한 분은 개인적으로 연락주시면 확인 후 제공하겠습니다.