중소병원 개인정보보호 내부관리계획 및 지침,매뉴얼 작성 방법 (5)

※ 글 순서

1. 개인정보보호 내부관리계획 수립 및 계획 안

2. 보안부서 운용 관리 계획 

▶ 3. 각종 보안 지침서 작성 (접근권한, 외주용역 보안교육, 보안감사, 보안시스템, 물리적 보안 등)

4. 직원교육 (재직자, 신규 등)

5. 의료기관 인증 (12.4 개인정보보호 및 보안규정) 관련

6. 의료기관 정보보호 자율점검 서비스, 교육이수 , 세미나

7. 서식 자료

 

(참고) 보안팀이나 정보보호 전담부서가 없는 중,소병원을 대상으로 합니다.

---

3.2. 보안지침서 - 외주용역 보안교육 및 관리실태 점검

1) 외주용역 보안교육서 수령 및 실태 점검표 작성

병원은 수탁업체가 많은 직종이어서, 관리해야 할 업체가 많다.

가장 먼저 수탁업체의 명단은 홈페이지의 '개인정보처리방침'에 공개해야 하며 전산팀이나 정보보호팀에서 직접 관리하는 수탁업체가 아니더라 하더라도 관련 부서를 통해서 보안교육과 실태점검이 이루어 질 수 있도록 협조를 구해야 한다.

PACS 시스템의 경우는 영상검사실 부서장에게, 외부검사의뢰 업체의 경우는 진단검사실 부서장에게 보안교육서를 수령할 수 있도록 하고, 보안실태점검서도 함께 수령하도록 해야 한다.

대부분 수탁업체는 병원정보시스템과 게이트웨어 서버를 이용하여 장비와 연결하고 DB서버에 접속을 하고, VPN 등을 사용하여 원격지원을 하기도 한다. 그러므로  반드시 '개인정보처리 위탁계약서' 작성 시 지원하는 업체 직원의 이름과 인적사항을 포함한 '보안서약서'도 함께 수령해야 한다. 

참고로, '개인정보처리 위탁계약서'는  IT물품 계약이나 구매가 진행될 때 함께 수령하는 것이 편하다. (구매부서에 사전에 알려두도록 한다.)

외주용역 보안관리 지침을 작성할 형편이 되지 않는다면, '정보보호 서약서', '수탁업체 개인정보 실태점검표'  2개는 작성하도록 한다.

'수탁업체 개인정보 실태점검표' 는 1년에 한번 주기적으로 수령하고 전산팀에서 점검하도록 한다.

 

▶ 외주용역 보안관리 지침서 예

▶ 수탁업체 개인정보보호 교육보고서 및 실태 점검표 예

 

※ 서식이 필요한 분은 개인적으로 연락주시면 확인 후 제공하겠습니다.