중소병원 개인정보보호 내부관리계획 및 지침,매뉴얼 작성 방법 (7)

※ 글 순서

1. 개인정보보호 내부관리계획 수립 및 계획 안

2. 보안부서 운용 관리 계획 

▶ 3. 각종 보안 지침서 작성 (접근권한, 외주용역 보안교육, 보안감사, 보안시스템, 물리적 보안 등)

4. 직원교육 (재직자, 신규 등)

5. 의료기관 인증 (12.4 개인정보보호 및 보안규정) 관련

6. 의료기관 정보보호 자율점검 서비스, 교육이수 , 세미나

7. 서식 자료

 

(참고) 보안팀이나 정보보호 전담부서가 없는 중,소병원을 대상으로 합니다.

---

3.4. 보안지침서 - 보안시스템

1) 개요

중소병원의 경우 보안시스템이 체계적으로 마련이 되어 있지 않는 경우가 많다.

경험에 의하면 어떤 병원에는 방화벽(Firewall) 조차도 구축하지 않고, 네트워크를 운용하는 경우도 봤다.

대형병원 처럼 손실과 장애에 대한 타격이 크다고 인식이 되면 보안시스템 구축과 예산에 여유가 있겠지만, 그렇지 않은 중소병원의 경우는 시스템 비용으로 치부하는 경우가 많다. 또한 대부분의 시스템을 외주업체에 관리를 맡기는 경우가 많아 정작 담당자가 보안시스템이 어떻게 구성되고 어떤 체계가 있는지도 모르기도 한다. 그러므로 지침서와 매뉴얼은 중요하다.

체계적으로 갖추지 못하고 있으니 취약점이 많은 것이고 취약점을 최대한 해결하고, 그것이 어렵다면 경영진에게 보고를 통해 예산 편성을 받거나 수용 가능한 취약점을 정하는 것이 좋다.

 

보안시스템의 지침서는 외부용역직원이나 전문가와 함께 작성하도록 한다.

아무래도 관리만 하는 전산부서에서 시스템의 상세 특징과 운용 방법에 대해서는 제대로 알지 못하기 때문이다.

보안시스템 지침서는 내부관리계획에 명시된 기술적 보호 조치에 해당되는 모든 시스템에 대해서 작성하도록 한다.

 

2) 보안시스템 지침서 작성 내용

법적 요구 조건을 만족하는 최소한의 보안시스템 및 솔루션은 아래와 같으면 해당 시스템에 대해 지침서를 만들면 된다.

방화벽(UTM) 구축 및 운영
침입차단시스템 (IPS) 구축 및 운영
데이터베이스 암호화 구축 및 운영
데이터베이스 접근제어 구축 및 운영
PC보안 프로그램 구축 및 운영
백신 소프트웨어 구축 및 운영
SSL (Secure Socket Layer) 암호화
기타 로그 및 백업 관리

 

▶ 보안시스템 지침서 작성 예

지침서에는 크게 운영 관리에 대한 것과 보안시스템 목록, 보안시스템에 적용할 정책도 상세하고 작성하도록 한다.

정책에 대한 검토는 매년 1회 이상 반드시 실시하고 해당 사항에 대해서는 경영진이나 정보보호관리책임자에게 보고하고 확인받도록 한다.

 

▶ 개인정보의 안전성 확보조치 기준 다운로드

개인정보의_안전성_확보조치_기준(제2020-2호)_해설서(2020.12월).pdf

1.49MB