몇 일 동안 많은 젊은 선생님들이 죽는다는 것을 뉴스로 목격하고 있다.
왜 선생님들이고, 나이든이 아니라 젊고 꽃같은 선생님들일까.
나는 어느 쪽에도 속하지 않는 사람이지만, 가끔 가르치는 일을 하고 있는 사람이니 남의 일 처럼 바라볼 수 만은 없었다.
교권 회복과 학생 보호 사이에서 결국 누군가가 생명을 잃고 있는 것이다.
 
나의 학창시절이 생각 났다.
중학교에 막 들어갔을 때였는데, 오전 수업을 하려니 어느 학생의 아버지가 교실 문을 열고 조심히 들어왔다.
시골 학교라 대부분의 부모님들은 농사일이 바빠 학교를 찾아오지도 않거니와, 수업시간에 들어올 일도 없었다.누구의 '아버지'께서는 검게 그을린 얼굴로 대뜸 선생님께 공손히 인사를 하고는 '여기 댕기는 아 아부지 되는 사람 입니더' 라는 간략한 자기 소개를 했다.자신은 무식해서 배운것도 없고, 아이를 현명하게 가르칠 능력도 없다. 그래서 아이의 모든 것을 선생님에게 맡겨둘 수 밖에 없고 집이 아닌 학교에서는 선생님이 아이의 부모 대신이니 엄하게 가르쳐 주시고 부족한 것이 있으면 그것은 모두 내 탓이니 나 또한 꾸짖어 달라며 천으로 감싼 무언가를 선생님께 전해주었다.천 안에는 그의 얼굴 만큼이나 검게 그을려 반들반들한 '오죽(烏竹) --검은 대나무' 으로 만든 회초리 두 자루였다.선생님께서는 공손하게 그것을 받아 들고는 무슨 뜻인지 잘 알겠다며 고개를 숙여 반 아이의 아버지를 배웅하였다.1년 내내 선생님께서 회초리를 드는 일은 단 한번도 없었다.그저 '오죽회초리'를 탁상 위에 두고는 수업을 하셨다.그것의 무게와 의미를 중학생 아이들이 알리도 없고, 오죽 회초리 따위가 무서워 수업을 허투루 보내는 아이가 왜 없었을까.그럼에도 최소한 선생님은 우리들을 존중해 주었고, 우리 또한 사춘기 객기를 부려 선생님께 기어 오르거나 서로를 괴롭히는 일은 없었다.1년 내내 나 또한 아버지가 회초리를 들고서 어느날 담임 선생을 찾아올까 그것이 겁났다. 
 
공포와 존경은 다른 문제다.
교권은 '공포'에 있는 것이 아니라 '존경'에 있는 것이고, 이것은 선생과 학생, 학부모 모두에게 해당된다.
내 아이 호되게 회초리를 질을 하더라도 '사람' 만들어 달라던 그 아버지도, 그렇다고 자신이 그 아이들 때리거나 마음대로 할 수 없다는 것을 아는 선생님도 생각나는 지금이다. 
 
 

※ 글 순서

1. 개인정보보호 내부관리계획 수립 및 계획 안

2. 보안부서 운용 관리 계획 

3. 각종 보안 지침서 작성 (접근권한, 외주용역 보안교육, 보안감사, 보안시스템, 물리적 보안 등)

▶ 4. 직원교육 (재직자, 신규 등)

5. 의료기관 인증 (12.4 개인정보보호 및 보안규정) 관련

6. 의료기관 정보보호 자율점검 서비스, 교육이수 , 세미나

7. 서식 자료

(참고) 보안팀이나 정보보호 전담부서가 없는 중,소병원을 대상으로 합니다.

4.1 임직원 개인정보보호 교육 계획

교육은 기본적으로 년 1회 이상 시행하는 것으로 계획서를 작성하면 된다.

의료기관의 경우 대형병원 위주로 규제가 되고 점검을 하였는데, 최근에는 중소병원에 대해서도 강화하고 있는 편이다.

의료기관 인증이나 개인정보보호 점검의 경우 가장 중점을 두고 보는 것 중 하나가 직원보안교육이다.

증적자료로 가장 준비를 잘 해야하는 문서 중에 하나이다.

1) 교육 계획서 구성

계획서는 크게 임직원, 보안부서 실무직원, 신규직원 이렇게 3개로 나누어서 계획서를 작성하도록 한다.

교육 방법 및 시기는 꼭 계획서대로 시행하지 않아도 무방하니 계획서는 충실히 작성해서 경영진에게 결재받도록 한다.

▶ 개인정보보호 교육 계획안 서식 예

2) 임직원 교육계획

임직원의 경우 교육의 예외가 없으며, 무조건 년1회 이상 교육을 받을 수 있도록 한다.

교육방법은 온라인, 집체교육, 전달교육 어떤 형식으로든 상관이 없다. 의료기관 사정에 맞게 교육방법을 정하면 된다.

교육 내용은 '개인정보보호법'과 '개인정보 위반사례 및 대응방안'에 대한 내용을 포함하도록 한다.

가끔 똑같은 내용으로 매년 교육을 시행해도 되느냐는 질문을 받는데, 결론적으로 말하면 무방하다.

다만, 개인정보보호법의 개정 내용이나, 의료기관의 정보유출이나 침해 사례가 발생한 경우, 특이한 이슈가 있는 경우 등에 대한 사례를 포함하면 좋겠다.

3) 보안담당자 실무교육

보안담당부서의 경우 직원들에게 전달교육을 하거나 직접 교육을 하는 경우가 많기 때문에 부서장이 해당 직원이 외부기관에 전문교육이나 컨퍼런스, 세미나 등을 참석할 수 있도록 배려하는 것이 좋다.

'개인정보보호법의 개정 사항', '개인정보 암호화' ,'가명정보처리', '클라우드 보안', 'ISMS-P(개인정보보호 관리 인증체계)', '보안시스템 운영'  등에 대해 교육 받을 수 있으면 좋다.

보건복지부·대한병원정보협회·대한병원정보보안협의회·대한보건의료정보관리사협회 등에서 주관하는 컨퍼런스가 무척 많은 편이다. 

의료기관 종사자라면 보안 세미나 및 컨퍼런스의 경우 대부분 무료로 참석 가능하다. 

<참고>  https://www.dailysecu.com/form/register.html?form_id=1672362231 

4.2 교육 실행

의료기관은  집체 교육이 힘든 곳이다. 

직무도 다르고 일하는 시간도 다르고 점심 먹는 시간도 다른 경우가 많아서 교대 근무를 하는 부서가 많아서 한 번에 집체교육을 시행한다는 것은 거의 불가능 하다고 보면 된다.

그래서, 보통은 부서별로 나눠서 하거나 교육 시행을 몇 차시로 나눠서 원하는 때에 와서 듣게 하는 것도 방법이다.

간호직군이 직원이 압도적으로 많은 의료기관의 특성 상 분만이나 육아 휴직으로 인해 교육 미새행 직원이 많은 점도 유념할 필요가 있다.

정보팀이나 전산팀이 없어서 보안교육이 어려운 병원의 경우 온라인 교육을 듣도록 하는 경우도 많다. (교육 효과는 거의 없다고 보면 된다.)

가급적이면 정보보호팀이나 전산팀에서 직접 집체 교육을 하는 것이 바람직하며, 임직원 전체가 힘들다면 신규직원의 교육은 꼭 직접 교육을 해주도록 하는 것이 좋다.

4.3 교육문서 작성

1) 임직원 교육 문서

교육문서는 가급적 PDF로 작성하여 배포하도록 한다. 

의료기관은 망분리가 되어 있거나 인터넷이 차단된 경우가 많고 행정부서를 제외하고는 오피스 관련 프로그램이 설치가 안되어 있는 경우도 많은데 무턱대로 한글이나 워드파일로 작성하고 배포하면 곤란하다.

해당 교육문서를 출력본으로 부서에 보관할 수 있도록 부서장 회의 시 공지해두면 좋다.

▶ 개인정보보호 교육 문서(임직원) 서식 예

2) 신규직원 교육 문서

신규직원의 경우 심도싶은 내용보다는 기본적으로 의료기관에 입사하게 되면 알아야 되는 필수 적인 내용을 포함할 수 있도록 한다. 

신규 입사자가 발생하는 경우 그때마다 정보보호팀이나 전산팀에서 교육이 힘들다면, 그룹웨어 등에 교육문서를 올려두고 전달교육을 하거나 해당 부서의 부서장을 통해서 보안교육을 시행하도록 하는 것도 방법이다.

'의료정보시스템의 접근권한', '사용자계정 관리','환자의 개인정보 보호' 등과 같은 내용을 포함하도록 한다.

필자의 경우 신규입사 시 작성해야 하는 '의료정보시스템 접근권한 신청서'의 작성 요령을 교육 문서에 포함하기도 했다.

4.4 교육시행

개인정보보호교육을 시행하기전 최소 한달전에 그룹웨어 등에 미리 공지하도록 한다.

이때 교육계획문서와 교육문서 등도 같이 공개하서 직원들이 참고할 수 있도록 하고 교육이 있구나 하는 것을 인지할 수 있도록 해야 한다.

가끔 해당 게시물을 올린 적이 있는 지에 대해 의료기관인증 시  조사위원이 확인하는 경우도 있다.

1) 온라인 교육 시행한 경우

해당 사이트에서 보안 교육이 완료가 되면 교육증빙서류(이수증 등) 을 직접 출력하여 첨부해두면 된다.

총무과에서 전체 직원의 이수증을 출력해도 되고, 부서장을 통해 모아서 수령하여도 된다.

2) 직접 교육 시행한 경우

정보보호팀이나 외부전문가에 의해 집체교육을 하는 경우가 대부분일텐데, 이경우 교육장면이 담길 수 있도로 촬영하거나 사진으로 증적자료를 남겨두면 좋다. (교육명이나 일자가 포함이 되면 더욱 좋다)

교육이 완료가 되면 임직원들이 직접 교육참석에 대한 서명을 받도록 하고, 해당 서명자료는 추후 교육결과보고서에 첨부하면 된다.

4.5 결과 보고

결과보고서는 보안교육이 끝난 이후 교육 실행관련 결과를 보고서 형태로 작성해야 한다.

교육시기와 횟수, 방법, 참여인원, 미이수자 인원, 미이수자에 대한 추가교육방안, 실시효과 등을 포함하여 작성하면 된다.

교육계획대로 되었는가를 확인하고 그렇지 못한 경우 다음 계획에 반영할 수 있도록 하여야 한다.

보안교육결과보고서는 반드시 경영진의 결재를 받아서 보관하도록 한다.

계획서와 마찬가지로 각종 인증이나 점검 시 증적자료로 가장 중요한 서류이다.

※ 서식이 필요한 분은 개인적으로 연락주시면 확인 후 제공하겠습니다. (소속 및 성함, 사용 목적 및 필요한 서식)

몇 일 동안 비가 내리고, 누군가가 물에 빠져 영영 돌아오지 못한다는 뉴스가 나오고 있다.
그렇게 거대한 흙탕물에 빠져 죽었다는 소식을 듣게되면 생각나는 사람이 있다.
 
어느 해 여름 비가 억수처럼 내리 던 날이었는데, 엄마는 흙탕물로 가득한 동네 초입에 철퍼덕 앉아 꺼이꺼이 울기만 하였다. 
" 아이고 어쩌누… 내 동생 어쩌누.. 당신이 어떻게든 좀 해봐요. 저기 우리 종환이. 종환이가 저기 있잖아.. 얼른 당신이 들어가봐. " 
분주한 동네 사람들과 물반, 눈물반으로 흠뻑 젖어 있었던 아버지의 모습이 여즉까지 생생하다.
물이 조금씩 빠지고 나서 둘째 외삼촌은 시체로 발견이 되었는데, 아끼던 둘째 동생을 물귀신으로 만들었다는 죄책감에 내 어머니는 한동안 아무것도 먹지 않고 말도 하지 않았다.
비가 그렇게나 많이 오는데 무슨 이유로 엄마는 '종환이' 삼촌에게  동네 밖 심부름을 보냈는지 모르겠지만,  그는 불어난 도랑에 빠져 다시는 돌아오지 못했다.
 
'종환이' 삼촌은 영화 '가을의 전설' 에 나오는 둘째 '트리스탄'처럼 강인한 사람이었다.
세 명의 외삼촌 중에서 가장 나를 예뻐하고 그 까칠하고 거친 수염으로 내 얼굴을 비비며 '내새끼' 그러면서 많이도 안아주었다.
잊고 지내다가 이렇게 비가 하염없이 오는 날이면 기어이 생각 나고야 만다.
한동안 둘째 외삼촌이 없다는 것을 실감하지 못했는데,  어느날 내가 질색하던 수염으로 얼굴을 비비며 안아줄까 하며 나타날 것 같았다.
 
그때의 종환이 삼촌보다 훨씬 나이가 많아진 지금. 당신과 똑닮은 수염으로 내 조카 얼굴을 박박 문지르며 나 또한 무한 애정을 퍼붓고 '내새끼'가 원하는 건 뭐라도 해줄 것 같은 눈빛으로 바라본다.
그때 당신의 그 마음을 알 것 같아서. 슬프다.
 

※ 글 순서

1. 개인정보보호 내부관리계획 수립 및 계획 안

2. 보안부서 운용 관리 계획 

▶ 3. 각종 보안 지침서 작성 (접근권한, 외주용역 보안교육, 보안감사, 보안시스템, 물리적 보안 등)

4. 직원교육 (재직자, 신규 등)

5. 의료기관 인증 (12.4 개인정보보호 및 보안규정) 관련

6. 의료기관 정보보호 자율점검 서비스, 교육이수 , 세미나

7. 서식 자료

(참고) 보안팀이나 정보보호 전담부서가 없는 중,소병원을 대상으로 합니다.

3.5 물리적 보안

1) 개요

물리적 보안은 중요 자산을 훼손, 변조, 도난, 유출 등 다양한 형태의 침해 위협으로부터 보호하기 위한 물리적 보안 세부사항을 정의하는데 목적이 있다.

물리적 보안이 필요한 곳은 중요 지역으로 설정하고 츨입 통제를 할 수 있도로 해야 한다.

전산실이나 기계실의 경우 반드시 통제구역으로 설정하여, 전산실 직원이외에 출입을 엄격히 제한하고, 외주 용역 업체 및업무상 필요한 경우에 대해서도 출입대장을 작성하도록 한다.

'출입통제시스템'을 구축하여서 전자적으로 출입 기록을 관리해도 좋고, 여유가 없는 병원에서는 수기로라도 반드시 '입출입대장'을 작성하여야 한다.

서버실에는 다양한 정보자산을 관리하고 있는 장비들이 많다.

서버실에 외주업체나 수리 목적으로 방문을 하는 경우에는 사전에 '작업신청서'를 작성토록 하고 , 전산팀장의 승인 후 담당자 동행하에 출입토록 한다.  출입대장을 정기적으로 점검할 때, 작업신청서와 대조하여서 누락이 없도록 해야 한다.

2) 물리적 보안 지침서 작성

물리적 보안지침서는 크게 1) 보호구역 설정,  2) 출입관리,  3)장비보안,  4) 사무실 보안관리 으로 작성한다.

보호구역은 정보자산의 유무와 중요도를 감안하여 '통제구역', '제한구역', '접견구역'으로 나누도록 하고 안내판 등을 설치하여 식볋하도록 한다.

통제구역과 제한구역은 직원증이나 출입카드를 통해서 출입통제가 이루어 질 수 있도록 해야한다.

청소요원이나, 외부직원의 출입 시에도 출입통제가 잘 이루어 질 수 있도록 별도 관리하여야 한다.

전산장비의 경우 해당 병원의 중요한 정보자산이다. 

그래서 장비나 정보자산이 외부로 반출이 되는 경우는 전산팀장 및 경영진의 승인을 받도록 해야 한다.

정보자산이 외부로 반출이 되는 경우는 대부분 폐기의 목적으로  이루어지는 경우가 많은데, 폐기하는 경우 안전하고 복구 불가능한 방법으로 폐기가 이루가 질 수 있도록 하고, 관련 증적자료 및 기록을 남길 수 있도록 조치해야 한다.

외부 업체를 통해 폐기 하는 경우 반드시 계약서에 관련 사항을 넣도록 하고, 보안서약서 작성 등 관련 서류도 작성하도록 한다.

▶ 물리적 보안 지침서 작성 예

▶ 전산(기계) 실 출입 대장 서식 예

▶ 정보자산 반/출입 관리 대장 서식 예

3) 기타

물리적 보안은 의료기관 인증 시, 상급종합병원의 경우 ISMS 인증 시 가장 기본적으로 확인하는 사항이다.

기본적이지만, 의외로 잘 관리를 하지 못하는 경우가 많고, 임직원들도 소홀하게 생각하는 경우가 많으므로 반드시 지침을 작성하고 게시판이나 그룹웨어를 통해서 공유하고 정보보호교육도 같이 시행되도록 한다.

※ 서식이 필요한 분은 개인적으로 연락주시면 확인 후 제공하겠습니다.

편애하는 작가의 새 책이 나왔다.

그녀는 나에게 우체국등기로 2권을 보내왔는데, '고선생님' 앞 이라는 봉투의 글씨가 선명했다.

사진을 찍어 고맙다고 전했고, 단정한 그녀의 글을 당분간 읽을 수 있다고 생각하니 설레였다.

늘 가방에 두고 꺼내 들어야지. 

서간집.편지체의 글로 쓴 책.

익숙하면서 낯선글이 편지가 아닐까.

종이가 아닌 다른 매체로라도 우리는 누구에게든 편지를 쓴다. 

나도 누군가에게 편지를 많이 보내던 때가 있었다.

깨끗한 미지를 앞에 두고 검은 펜을 들어 한 글자씩 탁본한 마음을 봉투에 봉해 간절히 보내더랬다.

나의 편지가 한정된 대상에게 보내는 '안부' 라면  용윤선의 편지는 흠모하는 여러 타자에게 보내는 '연서'이다.

이젠 읽을 수 없는 철학자 '김진영'이나 골드베르그 하면 떠오르는 '글렌굴드'처럼 사람이거나 에디오피아 '예가체프'처럼 사람이 아닌 것에게도 그녀는 편지를 쓴다. 심지어 그녀 자신에게도 편지를 썼다.

책을 받자 마자 아직도 책상에 가득한 그때의 그 종이가 생각이 나서 한동안 쓰지 않았던 편지를 썼다.

보낼 마음은 없지만, 보내지 못한 마음은 여전히 많다.

주저하는 단어가 있다면 아마도 '당신에게' 일 것이다.

책은 4월에 받았지만, 이제서야 글을 올린다.

어떤 책은 나만 알았으면 하는 마음도 있는 것이다.

그렇지만 내가 편애하는 작가님이 중쇄를 찍을 수만 있다면야 어떤 방법으로든 홍보하고 싶다.

그것도 아니되면 나라도 사야지.

그러고 보니, 나는 '나에게' 편지를 써 본적이 없구나.

▶ 다시 앉는 밤 - 용윤선 / yeondoo / 24,000원

http://aladin.kr/p/wzyIV

젊음과 청춘이라는 말은 곧 나에게 두려움의 다른 말처럼 들렸다. 그.때.는

마음처럼 되지 않던 그 청춘의 시간은 나에겐 그저 어서 지나가버렸으면 하는 계절 같은 것이었다.

중년이 되고 보니 얼마나 어리석은 생각이었는가를 알게 되었는데, 만개한 4월 교정의 꽃밭을 지나가는 그 어떤 청춘도 꽃을 보지 않더라.

더 이상 꽃이 아닌 나만 꽃을 보고 예쁘다며 감탄하고 있다는 사실에 그들은 꽃이어서 굳이 볼 필요는 없겠구나 했다.

내 청춘은 얼마나 좋았는가 싶다.

꽃밭의 꽃처럼 언제라도 젊고 예쁜 그들의 얼굴을 볼 수가 있었다.

그럼에도 불안하고 초조한 시간이었지만, 불안하고 안정되지 않은 상태가 청춘이었던 것 같다.

맨 앞에 앉아서 졸거나 가끔 초롱한 눈빛으로 강의를 듣던 학생 둘에게 건너편 공대 구내 식당의 짜장면이 맛있으니 한번 가 보길 권했는데, 그 말을 기억한 것인지 다음 수업 때는 나에게 쪼르르 달려와서 "교수님 갔다 왔어요 거기. 공대 짜장면" 하며 웃는다.

꽃 같았던 청춘이었다 하더라도 다시 돌아가고 싶지는 않다.

불안해서도 아니고, 현재의 내가 만족스러워서도 아니다.

누구나 현재 보다는 지나고 나서야 아름다워 보이는 것이 청춘이다.

나를 바라보는 아이들은 현재의 청춘이 고통이 있다 하더라도 부디 그 시간들이 아름다웠으면 좋겠다.

닳고 낡아빠진 어른들 틈으로 기어들어가지 말았으면 좋겠고. 어리석은 그들의 말을 듣지 않았으면 좋겠다.

지나고 나서야 청춘은 아니었으면 좋겠다.

민음사에서 발행하는 '릿터(Littor)'의 인터뷰를 모은 책이다.

인터뷰 책을 좋아하지 않는 편인데, '책' 이야기라니 호기심이 갔다.

그리고 '릿터'는 괜찮은 잡지니까 읽어 보기로 했다.

책을 좋아하는 사람들의 책 이야기는 흥미롭다.

책을 좋아하고 많이 읽는다고 더 좋은 사람이겠느냐는.

우리 사회의 많은 문제점 중 하나가 책을 읽지 않는 것에서 온다고 믿는다.

타인의 생각과 경험을 마주해 보지 않고서는 타인을 이해할 수 없다.

타인의 이해가 부족하면 벽이 생긴다.

그 벽은 타인을 향하기도 하지만, 스스로를 가두기도 한다.

공부로써 책도 좋겠지만, 자신과 타인의 대한 이해로써도 책은 중요하다.

허윤선의 인터뷰집에서는 책을 읽는 사람들이 단순히 물리적 활자철을 사랑한다는 것이 아니라, 자신을 어떻게 인식하고 타인의 생각과 감정을 어떻게 이해하고 있는 지를 선명한 대화를 통해 알려준다.

물론 인터뷰이는 유명인들이다. 세상 고민없고 방황 없을 것 같은 그들 조차도 나와 같구나 하는 안도감을 가질지도 모르겠다.

그런 목적으로 인터뷰이를 정한 것은 아니겠지만 말이다.

책이 두껍지만, 책 읽기를 소재로 한 수다여서 금방 읽힌다.

책이 두렵다면, 서점에라도 가보자.

북적이지만 소란스럽지 않은 그곳에서 즐비한 책이 뿜어내는 지식과 이야기의 향기도 느껴보자.

▶ 읽는 사람  - 허윤선 / 민음사 / 22,000원

알라딘: 읽는 사람 (aladin.co.kr)

※ 글 순서

1. 개인정보보호 내부관리계획 수립 및 계획 안

2. 보안부서 운용 관리 계획 

▶ 3. 각종 보안 지침서 작성 (접근권한, 외주용역 보안교육, 보안감사, 보안시스템, 물리적 보안 등)

4. 직원교육 (재직자, 신규 등)

5. 의료기관 인증 (12.4 개인정보보호 및 보안규정) 관련

6. 의료기관 정보보호 자율점검 서비스, 교육이수 , 세미나

7. 서식 자료

(참고) 보안팀이나 정보보호 전담부서가 없는 중,소병원을 대상으로 합니다.

3.4. 보안지침서 - 보안시스템

1) 개요

중소병원의 경우 보안시스템이 체계적으로 마련이 되어 있지 않는 경우가 많다.

경험에 의하면 어떤 병원에는 방화벽(Firewall) 조차도 구축하지 않고, 네트워크를 운용하는 경우도 봤다.

대형병원 처럼 손실과 장애에 대한 타격이 크다고 인식이 되면 보안시스템 구축과 예산에 여유가 있겠지만, 그렇지 않은 중소병원의 경우는 시스템 비용으로 치부하는 경우가 많다. 또한 대부분의 시스템을 외주업체에 관리를 맡기는 경우가 많아 정작 담당자가 보안시스템이 어떻게 구성되고 어떤 체계가 있는지도 모르기도 한다. 그러므로 지침서와 매뉴얼은 중요하다.

체계적으로 갖추지 못하고 있으니 취약점이 많은 것이고 취약점을 최대한 해결하고, 그것이 어렵다면 경영진에게 보고를 통해 예산 편성을 받거나 수용 가능한 취약점을 정하는 것이 좋다.

보안시스템의 지침서는 외부용역직원이나 전문가와 함께 작성하도록 한다.

아무래도 관리만 하는 전산부서에서 시스템의 상세 특징과 운용 방법에 대해서는 제대로 알지 못하기 때문이다.

보안시스템 지침서는 내부관리계획에 명시된 기술적 보호 조치에 해당되는 모든 시스템에 대해서 작성하도록 한다.

2) 보안시스템 지침서 작성 내용

법적 요구 조건을 만족하는 최소한의 보안시스템 및 솔루션은 아래와 같으면 해당 시스템에 대해 지침서를 만들면 된다.

방화벽(UTM) 구축 및 운영
침입차단시스템 (IPS) 구축 및 운영
데이터베이스 암호화 구축 및 운영
데이터베이스 접근제어 구축 및 운영
PC보안 프로그램 구축 및 운영
백신 소프트웨어 구축 및 운영
SSL (Secure Socket Layer) 암호화
기타 로그 및 백업 관리

▶ 보안시스템 지침서 작성 예

지침서에는 크게 운영 관리에 대한 것과 보안시스템 목록, 보안시스템에 적용할 정책도 상세하고 작성하도록 한다.

정책에 대한 검토는 매년 1회 이상 반드시 실시하고 해당 사항에 대해서는 경영진이나 정보보호관리책임자에게 보고하고 확인받도록 한다.

▶ 개인정보의 안전성 확보조치 기준 다운로드

▶ 개정 내용

   가. (문서명) 『보건의료데이터 활용 가이드라인』

   나. (발간일) 2022.12.28.(수)

   다. (발행기관) 보건복지부·개인정보보호위원회

   라. (주요 개정내용) 

     - 의료영상정보 가명처리 기준 명료화

      * (현행) ①체내영상, ②체외영상, ③단층촬영·3D이미지정보 → (개선) 영상정보

     - 데이터심의위원회(DRB) 운영기준 개선

      * (위원 수) 5인 이상 15인 이하 → 5인 이상, (외부위원 비중) 과반 이상 → 2인 이상

▶ 가이드라인 파일   다운로드 

▶ 출처: 한국보건의료정보원 (2022년 보건의료데이터 활용 가이드라인 개정 안내 | 공지사항 | 알림마당 : 한국보건의료정보원 (k-his.or.kr))

※ 글 순서

1. 개인정보보호 내부관리계획 수립 및 계획 안

2. 보안부서 운용 관리 계획 

▶ 3. 각종 보안 지침서 작성 (접근권한, 외주용역 보안교육, 보안감사, 보안시스템, 물리적 보안 등)

4. 직원교육 (재직자, 신규 등)

5. 의료기관 인증 (12.4 개인정보보호 및 보안규정) 관련

6. 의료기관 정보보호 자율점검 서비스, 교육이수 , 세미나

7. 서식 자료

(참고) 보안팀이나 정보보호 전담부서가 없는 중,소병원을 대상으로 합니다.

3.3. 보안지침서 - 보안감사

1) 보안점검 및 감사지침서 작성

경험상 중소병원의 경우 자체 보안팀이 없으니, 보안감사 활동을 제대로 수행하기도 어렵고 병원에서도 보안감사 지원이 없는 경우도 많다. 

보안 업무라는 것이 대부분 뭘 하지 말라는 것이기 때문에 일어나는 일이기도 하지만, 위협과 침해에 따른 피해는 고스란히 병원과 본인에게 있기 때문에 이점을 강조하는 것이 중요하다.

보안지침서는 전산실 자체에 대한 보안점검과 병원 전체에 대한 보안감사 부분을 크게 나누어 작성하면 된다.

전산실은 서버/스토리지/네트워크/보안시스템 등 모든 전산 운용 자산에 대한 보안점검을 수행할 수 있도록 지침을 만들고, 병원 임직원과 물리적 보안 등을 포함한 내부감사에 집중하여 지침서를 작성하도록 한다.

▶ 보안점검 및 감사지침서 작성 예

2) 보안점검 및 감사계획서 작성

보안감사 계획서는 해당년도 12월에 다른 보안관련 계획서와 함께 작성하도록 한다.

다만, 이전 년도에 미비한 점들을 반드시 반영하여 계획서를 작성하도록 한다.

보안점검 및 내부감사를 계획한 시기의 최소 한달 전쯤에는 해당 보안계획서 및 점검 리스트 등을 첨부하여 경영진의 결재를 득하고, 병원 내부망에 공지를 올리도록 한다.

▶ 보안점검 및 감사계획 안 결재 서류 예

▶ 보안점검 및 감사계획서 예

3) 전산실 보안점검 체크리스트 및 보안점검 결과보고서 

전산실의 경우 대부분의 서버, 스토리지, 보안시스템을 외주에 위탁하 운영하는 경우가 많을 것이다.

그러므로 보안점검은 반드시 해당 장비 주요 담당자에게 확인 받도록 하는 것이 좋다.

그렇게 해야 해당 병원은 정기적으로 보안에 대해 점검을 하고 담당자에게 확인시켜 점검토록 하는 구나 하는 시그널을 보낼 수도, 평소에도 보안에 대해 신경을 쓰도록 유도하는 효과도 있다.

당연히 해당 장비의 보안 점검 시에는 전산실 직원이 같이 점검하는 것이 좋고, 그 결과에 대해 논의하고 공유하여 미흡한 것이나 개선방안이 나오면 결과서 등을 작성하여 부서장에게 보고하고 추후 경영진에도 따로 보고 하여야 한다.

▶ 전산실 보안점검 체크리스트 예 

▶ 전산실 보안점검  결과보고서 예

4)  내부감사 및 점검결과 공유

내부 보안감사를 실시할 경우, 병원의 그룹웨어나 부서장 회의를 통해서 사전에 보안감사 실시에 대해 공지하고, 점검리스트 등도 배포하도록 한다. 

나의 경우에는 딱딱한 '보안감사내역서'라는 말대신 '개인정보자율점검 체크리스트'로 말을 순화하여 각 부서에 사전에 배포하고 전산실에서 점검을 나가도록 하였다.

아무래도 내부직원이기 때문에 점검 시 얼굴을 붉히는 일이 없도록 해야한다. 점검이지 조사가 아니다.

물론 위반사례에 대해서는 꼼꼼하게 기록하고 점검 부서의 부서장에게 서면으로 알려주고 개선하도록 해야 한다.

(위반 직원이나 담당자에게 직접적으로 이야기 해서는 안된다.)

그리고 부서 특징과 관련없는 공통으로 위반한 사항 (예: 비밀번호를 책상에 붙여 놓는 행위 등)에 대해서는 병원 온라인 게시판 등을 통해 공유하도록 한다.

▶ 개인정보자율점검 체크리스트 (보안감사 점검내역) 예

▶ 자체 보안감사 결과 보고서 예

※ 서식이 필요한 분은 개인적으로 연락주시면 확인 후 제공하겠습니다.