▶ 정보보호 최고책임자 지정신고제도 운영 가이드라인

▶ 표준 개인정보 보호지침(개인정보보호위원회고시)(제2024-1호)(20240104)

▶ 2023.9.15. 시행된 개인정보 보호법 및 시행령 개정사항에 대해 안내에 대한 문서

ISMS-P 인증 상세기준을 노트처럼  정리하는 것이 좋겠다 싶어서 안내서와 각종 지침서를 확인하고 정리해봄.

2023년 개인정보보법 개정사항도 반영하여서 정리중.

정리 다하면 PDF로 배포해볼까 싶기도 하고.

전자의무기록 인증제 개정과 관련하여 시범사업을 한국보건의료정보원에서 공모 중입니다.

시범사업에 참여하지 않더라도 개정과 관련해서 미리 살펴볼 수 있는 좋은 자료인것 같아 관련 발표 자료 공유합니다.

▶ 시범사업 발표 자료 및 질의응답

▶ 원문 사이트

[공모] 전자의무기록시스템 인증제 시범사업 공모 안내 | 공지사항 | 알림마당 : 한국보건의료정보원 (k-his.or.kr)

대형의료기관을 제외하고는 대부분의 의료기관은 EMR인증을 받지 않고 있다. 

하지만, 의료기관에서 사용하는 의료정보는 '표준'과  '상호운용성' 이라는 아주 중요한 문제에 직면하게 되며, 그 시작은  전자의무기록시스템 인증 제품 구현 및 사용이라고 생각한다. 

중소병원 등의 경우 대부분 전자의무기록시스템의 수정이나 변경없이 '사용인증' 만 받고 있는 경우가 많으며, 중급 이상의 의료기관은 별도 개발제품을 운영하거나, 전문 의료정보 업체로 부터 제품을 도입한 후 의료기관에 맞게 수정하는 일명 '하이브리드' 방식이 많다. 이런 경우 '제품인증'과 '사용인증' 모두 받아야 한다.

EMR 인증을 신청하게 되면, 심사계획서를 수령하게 되는데, 단순 행정 업무만 안내하기 떄문에 의료기관의 전산실이나 의료정보팀 직원들이 참고하면 좋을 내용을 안내한다.

※ 제품인증과 사용인증에 대한 설명은 한국보건의료정보원(www.k-his.or.kr)의 자료실에서 안내서를 참고하면 된다.

1. 의료기관의 청구소프트웨어 보안인증 심사면제 

▶ 의료기관의 경우 대부분 청구소프트웨어(건강보험 EDI송신에 따른 승인) 인증을 받은 경우가 대부분이다. 청구소프트웨어 인증을 받은 경우는 EMR 인증에서 제시하는 보안인증 중 몇개의 기준을 면제 받을 수 있다. 

(별도 인증 면제 신청서를 작성하여야 한다.)

▶ 면제 기준은 S001 – S007, S010-S011 총 9개이다.

다만, 청구소프트웨어로 면제 신청을 한 경우는 현장심사를 완전히 배제하는 것은 아니니 프로그램도 점검하고 별도 시나리오도 미리 작성해 두는 편이 바람직하다.

▶ 시간동기화와 백업의 경우 빈번하게 시연해보라 하고, 데이터도 확인한다.

2. 시나리오 작성 관련

▶ 미리  사용할 환자등록번호를 선정하고 다른 데이터가 섞이지 않도록 한다. 
▶ 전자서명하는 의사사번 및 공인인증 비밀번호 등 사전에 확인하고, 준비해야 한다. (의료정보업체의 경우 의료기관용 공인인증서가 없으므로 전자서명 툴 등을 미리 확인한다.)

3. 서류심사 

▶  서류심사는 현장심사 1일차에 이루어진다. 당일 외부심사원과 심사팀장이 미리 우리가 제출한 서류를 검토하고 브리핑 하는 시간을 가진다. 이때 중점적으로 봐야 하는 사항을 정하기도 한다.

▶ 서류를 보는 이유는 서류대로 되어 있는 가를 확인하는 과정이고, 서류가 제대로 안되어 있다면 그 부분을 현장심사에서 집중적으로 볼 수 있다는 것을 의미하기도 한다.

4. 현장심사 

▶ 매일 시작회의 시 당일 심사계획을 알려준다. 시연 담당자는 미리 환자등록번호나 시나리오를 점검하고 들어가는 것이 좋다. 
▶  F001부터 순서대로 하는 것은 아니다. 계획서대로 시연하는 경우도 있고, 경우에 따라서 순서를 바꾸는 경우도 있으며,  이 경우 심사팀장이 해당 담당자나 팀장에게 양해룰 구한다.
▶ 현장심사 시 제대로 되지 않거나, 기능구현이 되어 있는데 누락으로 인한 것은 별도 증적자료 제출하겠다 하고 넘어가면 됩니다. (제출 자료 보고 제대로 되어 있으면 pass 나갑니다.)
▶  증적자료는 PPT파일로 작성하며, 인증번호 (F001-01), 화면 캡쳐 등을 입력하여 심사팀장 및 심사원 이메일로 파일 송부하면 됩니다. (심사계획안내서 참조)
▶  DB 자료를 제출 요구하거나 보자는 경우도 있으므로, 테이블 내역 및 TOAD와 같은 툴로 확인해 둡니다.
▶ 당일 현장심사에서 기능이 미비하였거나, 보완이 필요하다고 판단되면, 당장 수정가능한 것은 가급적 당일 처리하는 것이 좋습니다. 당일 처리가 되는 건들은 다음날 심사팀장에게 통보하고 재심사 받아서 인증 받으면 됩니다. 그렇지 않으면 따로 보완요청서 작성해야 합니다. 가급적 당일 수고스럽더라도 수정하고 재심 받아 pass 받는게 좋습니다.
▶ 선택사항의 경우, pass 여부와 관계 없이 인증이 됩니다. 다만 기능 구현이 되어있다면, 심사 받는 것이 좋습니다. (특히 유형3의 경우)
▶ 암호화 툴이나 공인인증 툴도 미리 확인하고 시연 시 사용할 수 있도록 합니다. 공인인증의 경우는 무조건 확인합니다.

5. 기타

▶ 심사원들이 일찍 오는 경우도 있으므로, 사전에 사무실 미리 개방해두거나, 출입 비번 등을 알려주도록 합니다. 
▶ 아침에 시작 회의는 담당자 및 팀장 등 임직원들이 무조건 참석하도록 합니다.
▶ 인증심사원에게 식사대접은 불가.
▶ 심사원이 사용할 필기도구, 노트, 생수, 노트북용 멀티탭, IP Address 정보를 각 자리마다 비치하는 것이 좋습니다.


 

방학기간에는 회사 일과 공부하는 것 등으로 학기 중 보다 오히려 바쁘게 지내는 편이다.

그러다가 학교에서 시간표와 관련된 문자를 받게 되면, 다음 학기의 강의자료를 한 번 펼쳐보게 된다.

그리고, 중요한 강의계획서를 작성해야 한다.

계획없이 사는 내가 계획서를 써야 한다.

물론 예전에 작성한 것들을 대부분 그대로 인용하기도 하지만, 이제는 맞지 않는 것이라고 생각 되는 것과 수업해보니 굳이 안해도 될 것 같은 것은 과감하게 뺀다.  물론 그 공백에는 새로운 내용으로 채워 넣는다. 

첫 주에 무엇을 할까. 어떻게 말할까. 그것이 가장 고민이 된다. 첫 주가 어렵다.

강의 첫 날에는 대부분의 수업이 그렇듯이, 앞으로의 수업 내용과 교재, 평가 방법 등이 주로 안내가 된다.

나의 경우에는 허락되는 것과 그렇지 못한 것을 알려주기도 한다.

허락되는 것 중에서 하나는 '수업 중에 스마트폰 사용' 이다.

내가 수업 중에 스마트폰 사용에 대해 별다른 제약을 두지 않는 이유는 볼펜 한 자루와 필기용 노트 한 권으로 강의를 듣고하던 나의 시대가 아니기 때문이다.

어른들이 보기에는 그저 컨텐츠 소비와 시도때도 없는 커뮤니케이션 기계 정도로 치부될 지 몰라도, 지금의 학생들에게는 그것 이상의 의미를 가진다는 것을 잘 알기 때문이다.

그래서, 필기용 스마트패드를 이용한다거나, 급하게 자료 검색 스마트폰을 이용하는 것에 대한 제약을 전혀 두지 않는다. (물론 전화를 받거나, 수업에 영향을 미치는 행위는 허용되지 않는다.) 

오히려 그들이 가지고 있는 그 도구를 나는 적극적으로 활용하기도 한다.

설문조사나 강의평가를 한다던지, 퀴즈를 내어주기도 하고 적극적인 학생에게는 커피를 보내주기도 한다. 

그러나, 이렇게 하면 거의 절반 가까이는 당당하게 스마트폰을 올려두고 열심히 누군가와 대화를 나누거나 심지어 영상 콘텐츠를 감상하는 일도 생긴다.

그러면 나는 기다렸다는 듯이 스마트폰이 당신 인생에 가져다 주지 않는 것들을 이야기 해준다.

1. 남의 컨텐츠를 아무리 많이 보아도 나의 지혜와 혜안 그리고 조예가 절대로. 깊어지지 않는다. (제대로 된 남의 컨텐츠는 아직까지는 책이라고 말하고 싶다.)

2. 대화는 사람과 하는 것이다. (상대방 눈을 보지 않는 카카오톡과 SNS DM이 정말 대화일까 의문이다.)

3. 텍스트가 가지는 힘보다는 사람의 목소리가 가지는 힘이 100배는 더 크다. (당신의 진심을 텍스트로 전달하기는 정말 어려운 일이다.)

4. 영상으로 길들여진 머리는 글을 읽지 못하게 하고,  독해력과 사고력을 점점 떨어뜨린다.

5. 컴퓨터의 세상이라 하더라도, 그 어떤 인간보다 우위에 있지 않다.

6. 때론 불편한 것이 정성이 되기도 한다. 컨텐츠를 친구와 공유하는 것보다 그를 초대하고, 내가 직접 만든 음식을 차려내고, 손편지를 써서 전해주는 것이 가성비가 너무 떨어진다는 생각이 든다면 여러분의 세상은 아마 점점 좁아질 것이다.

스마트폰이 가져다 준 온라인 세상과 타인의 콘텐츠가 학생들에게서 뺏아 가는 것을 말해준다. 물론 그 것이 장점이 없지 않겠지만, 더 많은 사람을 만나고 경험하는데 정말 도움이 되는 지 의문이다.

세상을 확장하고 넓게 만들었다고 하는데, 동감하기 어렵다.

나의 세상은 백 명 정도의 사람이면 족하지 수 만명의 사람이 필요치 않다. 

꼰대.

나는 꼰대가 되는 편이 낫다고 생각한다. 

'꼰대'라는 소리를 피하려 책임까지 회피하는 입 꾹 다무는 어른이 되기는 싫다.

차라리 말해주는 꼰대가 되는 편이 낫다고 여긴다.

그리고 듣는 당신이 해야 하는 것은 정말 맞는 말일까 하는 의심과 가려서 볼 줄 아는 혜안을 가지는 일이다.

개인정보보호법 개정과 관련하여 isms-p 인증 기준도 변경이 있었습니다.  

1) 일부 항목 신설 : 인증기준 2.4.7, 2.5.4, 2.6.3, 3.1.1, 3.1.4, 3.1.6, 3.2.4, 3.2.5, 3.3.1

2) 일부 항목 수정 : 인증기준 2.3.3, 2.5.4, 2.6.3, 2.6.7, 2.9.4, 3.1.1, 3.1.2, 3.1.3, 3.1.6, 3.2.2, 3.2.4, 3.3.1, 3.3.2, 3.3.4, 3.5.1, 3.5.2, 3.5.3

3) 일부 항목 삭제 : 개정된 인증기준에 따라 관련 항목 삭제

▶ 세부 점검항목 변경 자료

▶ 인증기준 안내서 수정 자료

자료출처:

KISA 정보보호 및 개인정보보호관리체계 인증 ISMS-P 자료실 상세페이지