※ 글 순서

1. 개인정보보호 내부관리계획 수립 및 계획 안

2. 보안부서 운용 관리 계획 

▶ 3. 각종 보안 지침서 작성 (접근권한, 외주용역 보안교육, 보안감사, 보안시스템, 물리적 보안 등)

4. 직원교육 (재직자, 신규 등)

5. 의료기관 인증 (12.4 개인정보보호 및 보안규정) 관련

6. 의료기관 정보보호 자율점검 서비스, 교육이수 , 세미나

7. 서식 자료

(참고) 보안팀이나 정보보호 전담부서가 없는 중,소병원을 대상으로 합니다.

3.2. 보안지침서 - 외주용역 보안교육 및 관리실태 점검

1) 외주용역 보안교육서 수령 및 실태 점검표 작성

병원은 수탁업체가 많은 직종이어서, 관리해야 할 업체가 많다.

가장 먼저 수탁업체의 명단은 홈페이지의 '개인정보처리방침'에 공개해야 하며 전산팀이나 정보보호팀에서 직접 관리하는 수탁업체가 아니더라 하더라도 관련 부서를 통해서 보안교육과 실태점검이 이루어 질 수 있도록 협조를 구해야 한다.

PACS 시스템의 경우는 영상검사실 부서장에게, 외부검사의뢰 업체의 경우는 진단검사실 부서장에게 보안교육서를 수령할 수 있도록 하고, 보안실태점검서도 함께 수령하도록 해야 한다.

대부분 수탁업체는 병원정보시스템과 게이트웨어 서버를 이용하여 장비와 연결하고 DB서버에 접속을 하고, VPN 등을 사용하여 원격지원을 하기도 한다. 그러므로  반드시 '개인정보처리 위탁계약서' 작성 시 지원하는 업체 직원의 이름과 인적사항을 포함한 '보안서약서'도 함께 수령해야 한다. 

참고로, '개인정보처리 위탁계약서'는  IT물품 계약이나 구매가 진행될 때 함께 수령하는 것이 편하다. (구매부서에 사전에 알려두도록 한다.)

외주용역 보안관리 지침을 작성할 형편이 되지 않는다면, '정보보호 서약서', '수탁업체 개인정보 실태점검표'  2개는 작성하도록 한다.

'수탁업체 개인정보 실태점검표' 는 1년에 한번 주기적으로 수령하고 전산팀에서 점검하도록 한다.

▶ 외주용역 보안관리 지침서 예

▶ 수탁업체 개인정보보호 교육보고서 및 실태 점검표 예

※ 서식이 필요한 분은 개인적으로 연락주시면 확인 후 제공하겠습니다.

그림을 잘 그리지도 못하고 볼 줄도 모르지만, 난 그림을 아주 좋아한다.

사진이 사실과 추억을 보여주는 것이라면, 그림을 사연을 품고 이야기를 들려주기 때문이다.

가끔 갤러리도 들르며, 아트페어가 있다면 비싼 가격표가 매겨진 그림 앞에서 서성이기도 한다.

그럼에도 도슨트가 있는 곳은 피하는 편인데, 그림을 보면서 작가를 상상하고 싶지도 않고, 사실이든 편견이든 도슨트의 견해를 듣는 순간 나도 모르게 그림을 평가해 버리기 때문이다.

보통은 그림을 설명한다.

어떤 화풍의 어떤 재료로 어느 시기에 누구의 영향을 받아 소더비에서 얼마에 팔렸다 등등으로.

이 책이 특별한 것은 화가에 대한 이야기를 들려준다.

꿈을 품으며 그렸든, 먹고 살기 위함이든, 주변인에게 그냥 댓가없이 선물한 것이든, 작가의 생을 들여다 보면 예술은 어쩌면 고통으로 만들어지는 찬란한 부산물처럼 느껴진다.

그렇지만, 그것을 보는 우리는 행복하다.

" 고통은 지나가지만 아름다움은 영원하다네."  - 르누아르

책을 읽고 있으니, 다음에는 도슨트가 있는 미술관에 한 번 가볼까 하는 생각도 든다.

괜히 전문가는 아닐테니까 말이다.

정우철은 자신의 식견을 과하게 책에 넣지 않으면서도 쉽고 몰입감 있게 작가와 그림에 대해 설명한다.

그 점이 이 책에서 가장 좋다.

그림보다 화가가 더 궁금한 사람이라면 더없이 좋은 책이라고 생각한다.

40대에 공무원을 그만두고 그림을 그렸다는 앙리 루소의 이야기가 가장 좋았다.

우리는 타인이 살아가는 속도와 스스로를 비교하며 불안해 합니다.

누구는 벌써 저렇게 성공했는데, 누구는 얼마를 번다는데, 비교는 끝이 없고 스스로를 깎아 내립니다.

정작 중요한 것은 비교가 아니라 내가 좋아하는 것을 꾸준히 하는 것 아닐까요.

산다는 것은 바라는 일입니다. 삶은 목적하고 희망하는 것입니다.

꿈을 향해 서야 합니다. 눈치를 보지 말고 나의 발끝이 가리키는 그곳을 향해 꾸준히 나아가야 합니다.

루소의 그림은 우리에게 분명한 목소리로 말하고 있습니다.

 꿈을 위해서라면 조금 늦어도 괜찮아.

▶ 도슨트 정우철의 미술극장 - 정우철 / EBS Books / 18,800원

https://product.kyobobook.co.kr/detail/S000200485758

아침마다 듣는 라디오가 있다.

그 라디오에서는 아침마다 시를 읽어 주었다.

하루 한편의 시라니.

하나의 단어도 떠올리기 힘든 나에게

매일 읽어주는 시는

영감과 살아낼 의지를 깨우쳐 준다.

시인의 이름이 궁금했다.

그녀의 시집을 골라

버릇처럼 제목으로 지어진 시를 먼저 찾아서 읽는다.

당신의 세계는

어떤 빗소리와 작약을 취급하는지

오래도록 바라보는 바다를 취급하는지

여부를 물었으나

소포는 오지 않고

내 마음속 치욕과 앙금이 많은 것도 재밌어서

나는 오늘도

아무리 희미해도 상관없습니다.

나는 여전히 바다 같은 작약을 빗소리를

오래오래 보고 있습니다.

아침마다 시를 읽어야지.

시 같은 말을 내뱉지는 못할지라도

시 같은 마음을 타인에게 전해 주어야지.

▶ 당신의 세계는 아직도 바다와 빗소리와 작약을 취급하는지 - 김경미 / 민음사 / 12,000원

※ 글 순서

1. 개인정보보호 내부관리계획 수립 및 계획 안

2. 보안부서 운용 관리 계획 

▶ 3. 각종 보안 지침서 작성 (접근권한, 외주용역 보안교육, 보안감사, 보안시스템, 물리적 보안 등)

4. 직원교육 (재직자, 신규 등)

5. 의료기관 인증 (12.4 개인정보보호 및 보안규정) 관련

6. 의료기관 정보보호 자율점검 서비스, 교육이수 , 세미나

7. 서식 자료

(참고) 보안팀이나 정보보호 전담부서가 없는 중,소병원을 대상으로 합니다.

3.1. 보안지침서 - 개인정보 접근권한 및 통제관리 지침서 작성

1) 개인정보 접근권한 및 통제관리 지침

의료기관 인증조사(12.4) 나 보안관련 점검 시 가장 많이 확인하게 되는 지침서 중 하나이다. 

그만큼 제대로 만들어 놓고, 또한 임직원들이 잘 숙지할 수 있도록 지침공개나 교육도 병행되어야 한다.

병원의 접근권한은 의료정보시스템(OCS, EMR)에 대한 접근권한 정책을 말한다.

▶ 접근권한 통제관리 지침서 작성 예

접근권한 및 통제관리 지침은 전산팀과 의무기록팀(실)과 연관이 많다. 

의료기관 인증 조사 시 의료정보에 대한 접근권한을 의무기록실에서 담당하는 경우가 많고 질문도 의무기록 담당자에게 의견을 묻는 경우가 많기 때문에 가급적 전산실 보안담당 직원이 같이 배석하는 것이 좋으며, 해당 지침서도 같이 제출해서 질문을 최소화 할 수 있도록 하는 것이 좋다.

접근권한에 대한 지침과 매뉴얼도 가급적 의무기록실 직원과 공유하고 수정이나, 의견 반영도 같이 하는 것이 바람직하다.

2) 의료정보시스템 접근 권한 생성(변경) 신청서 수령

신규 직원이 입사하는 경우는 '보안서약서'와 '의료정보시스템 접근권한 신청서'를 같이 수령할 수 있도록 총무과나 인사부서에 미리 2가지 서식을 제공해주고 수령할 수 있도록 협조를 구하자.

뿐만아니라, 부서가 변경되는 경우에도 반드시 '접근권한 변경 신청서'를 수령해서 보관하고 시스템에 반영하도록 한다.

▶ 의료정보시스템 접근 권한 생성(변경) 신청서 서식 예

3) 의료정보시스템 접근 권한 생성 및 변경 이력 관리

EMR 프로그램에서 접근권한에 대한 변경 이력이 관리 되는 지도 살펴보아야 한다.

대장으로 관리하는 경우도 있지만, 쉽지가 않기 떄문에 프로그램으로 관리가 되도록 한다.

경우에 따라서 별도 프로그램에 존재하지 않고 데이터베이스 LOG 형태로만 관리하는 경우가 있는데 접근권한에 대한 주기적 검토가 이루어 질 수 없기 때문에 반드시 별도 프로그램으로 구현하도록 한다.

개인정보보법에서는 개인정보시스템에 대한 접근 권한의 부여ㆍ변경ㆍ말소 등에 관한 기준의 수립ㆍ시행하도록 하고, 

" 개인정보처리자의 접근권한 부여, 변경, 말소에 대한 내역은 전자적 혹은 수기로 작성한 관리대장: 최소 3년간 --> 의료기관에 해당

정보통신서비스 제공자 등은 개인정보처리시스템에 접근권한 부여, 변경, 말소 내역을 전자적 혹은 수기로 작성한 관리대장 등에 기록, 해당기록은 최소5년간 보관" 하도록 하고 있다.

※ 서식이 필요한 분은 개인적으로 연락주시면 확인 후 제공하겠습니다.

혼자 있는 것을 좋아하는 사람들이 많다.

내 주변의 대부분은 그렇게 말한다.

그렇다고 혼자를 잘 견디는 사람은 별로 없다.

고요한 혼자의 시간이 필요할 때가 좋다는 것이지만, 두고두고 혼자 인 것을 좋아하는 이는 드물 것이다.

혼자 있는 시간이 아주 긴 나에게는 그 시간을 소중하게 쓰려고 노력하는 편이다.

허투로 다른 것에세 시선을 뺏기지 않도록

번잡한 것들을 주변에 두지 않도록

그리고 가장 중요한 것. 

좋은 것을 많이 보도록 하는 것.

그림은 혼자 있는 시간을 풍요롭게 해준다.

전시회에 가서 일정한 간격을 두고 걸려 있는 그림을 가만히 마주하고 있으면 일렁임과 고요함을 동시에 느낀다.

그림을 그리고 글을 쓰는 '우지현' 작가도 혼자라는 것을 좋아하는 사람 인 것 같다.

혼자 오롯이 방안에서 테라스에서 식당과 까페에서 혼자 있는 그림이 이 책에는 가득하다. 

그럼에도 그림들은 쓸쓸하지 않다.

오히려 단단하게 혼자 서 있는 자기만의 인생을 그림으로 보여주는 것 같아서 좋다.

모두에게는 그만의 방이 있다.

숨고 싶거나 쉬고 싶거나 자기만의 공간으로 운둔하고 싶을 때가 있다.

자기의 방으로 들어간다는 것은 소외나 단절을 의미하는 것은 아니다.

방에서 혼자만의 시간으로 삶을 관조하고, 충전하며, 자신을 다시 조명한다.

관계의 번잡함에 벗어나 마음을 회복한다.

▶ 혼자있기 좋은 방 / 우지현 / 2018년 

http://aladin.kr/p/n1Vi5

나도 누군가의 도움을 받아서 배우고 알게 되고 성장했다.

저 혼자 잘나서 홀로 잘 되는 법은 없다.

티가 나든 그렇지 않든 그 누군가의 도움과 내 서툰 시간들을 기다려 주며 인내한 사람이 반드시 있었을 것이다.

그 언젠가 나도 그 누군가에 대한 고마움을 되갚아야 한다고 생각했다.

하지만, 특정할 수 도 없는 수많은 '그 누군가' 를 다 찾을 수는 없으니 다른 방법을 찾아야 했다.

그래서 선택하게 된 것이 가르치는 일을 하기로 한 것이다.

가르친다는 것은 신념과 체력 그리고 책임감을 가져야 하는 일이다.

처음에는 그런 것들이 나에게 있을까 하는 의문을 가지면서 주저했던 것도 사실이다.

나보다 조금 덜 알고 있는 사람에게 그나마 알고 있는 것들을 나누어 주는 것이, 내가 당연하게 받아왔던 수많은 시간과 인내에 대한 채무를 조금이나마 갚는 길이라는 생각이 들었다.

사실은 가르치면서 배우는 것이 더 많다.

누군가의 선생이 되어보면, 자신이 알고 있는 지식의 깊이가 얼마나 얕고 보잘것 없는 것인지를 알게 된다.

머릿속에 있는 것과 그것을 말로 타인에게 전달하는 것은 다른 문제이며, 더욱이 어렵지 않게 설명해야 하는 것은 더 어렵다.

베테랑 직장인에서 서툰 선생이 되는 과정은 그런 것들을 다시 익히고 공부하는 과정이었다.

어른이 가져야 하는 사회적 책무에 대한 빚갚음으로 시작했던 일이 오히려 나를 다시 배우게 한 것이다.

또 하나의 빚이 생기게 된 것이다.

사족.

나는 더 잘 설명하는 사람보다는 더 잘 헤아려 주는 사람이 되었음 한다.

※ 글 순서

1. 개인정보보호 내부관리계획 수립 및 계획 안

▶ 2. 보안부서 운용 관리 계획 

3. 각종 보안 지침서 작성 (접근권한, 외주용역 보안교육, 보안감사, 보안시스템, 물리적 보안 등)

4. 직원교육 (재직자, 신규 등)

5. 의료기관 인증 (12.4 개인정보보호 및 보안규정) 관련

6. 의료기관 정보보호 자율점검 서비스, 교육이수 , 세미나

7. 서식 자료

(참고) 보안팀이나 정보보호 전담부서가 없는 중,소병원을 대상으로 합니다.

2. 보안부서 관리 운용 계획

1)  보안부서 운용 계획서가 필요한가?

대부분 중소병원의 전담 보안부서를 운용하지는 않고 전산실이나 타부서의 부서장이 겸직하면서 보안운용을 하는 경우가 많다. 그렇다 하더라도 보안부서를 운용하고 있으며, 전산실에서 보안담당의 어떤 업무를 하고 있는지 작성할 필요는 있다.

그렇게 해야, 경영진은 보안과 관련된 무슨일을 하는지 알 수 있고, 운용 계획서가 있어야 예산을 편성할 수 있기 때문이다.

뿐만 아니라, 각종 인증조사나 평가 시 전담부서가 없다 하더라도 정보보호 활동을 주관하는 부서가 있구나가 반영이 되기 때문이다. 그렇다면 증빙자료가 있어야 하며, 그 증빙자료의 첫 번째는 계획서이다.

2) 보안관리부서 운용계획서 작성 예

계획서는 가급적 년도가 바뀌기 전에 해당년도 전년도 12월에 작성하는 것이 좋다.

모든 계획서는 결과보고가 있어야 성과를 확인 할 수 있다. 그래서 계획서를 작성하기 전에 결과보고서를 작성하고 그 결과를 확인 후 하지 못했거나 미비한 것에 대해서는 다음 해 계획서에 반영하도록 한다.

▶ 보안관리부서 운용계획서 작성 예

3) 소요예산 및 기대효과

부서운용계획서에는 반드시 소요예산(예상) 및 기대효과에 대해서 언급하도록 한다.

모든 보안 행위는 예산이 필요하며, 그 예산 규모에 따라 병원이 보안관리에 어느 정도로 신경을 쓰고 있는지가 객관화 된다. (증빙자료로 쓰기에도 좋다.)

4) 타임테이블 작성

앞서도 잠깐 언급했지만, 언제 결과보고서 및 계획서를 작성하고, 평가 및 각종 행정사항들을 언제 시행 하는가에 대해  타임테이블을 작성하고 경영진이나 정보보호책임자에게 보고하는 것이 좋다.

타임테이블은 월별로 시행해야 할 보안활동 사항이나 행정내역에 대해 간단하게 작성하면 된다. 

이를 정리해서 따로 소요되는 예산도 같이 작성하면 좋다.

▶ 보안관리부서 운용계획서 '타임테이블' 작성  예

※ 서식이 필요한 분은 개인적으로 연락주시면 확인 후 제공하겠습니다.

집이 아닌 작업 공간이 필요한 나에게 사는 곳 주변에 까페가 많다는 사실은 다행이다.

다만, 괜찮은 품질의 커피를 내어주는 까페를 찾기란 어렵고, 조용한 까페를 찾기란 더 어렵다.

이 두 가지 모두에 해당 되는 까페라면 주인이 돈에 관심이 없거나, 건물주이거나, 가까운 시일 내에 망할 확률이 높거나 이다.

어찌하여 좋은 까페를 발견했다 하더라도 노트북과 마우스를 올려 놓을 만한 적당한 크기의 테이블(원목이면 좋다. 철제나 돌이면 곤란하다)과 허리가 아프지 않을 만한 의자를 제공하느냐도 문제이다.

부수적인 것이기도 하지만, 음악소리가 크지 않고 거슬리지 않아야 한다. (하루종일 최신가요가 나오는 곳이라면 곤란하다) 

이 모든 것이 완벽한 곳을 한 곳 아는데, 문제는 집 가까이 있지가 않다는 것이고, 차를 몰고 가더라도 주차할 곳이 없어서 자주 가보지는 못한다. 

그래서 적당한 선의 까페를 찾아 앉아서 소음을 견디기도, 아픈 허리를 부여잡기도, 맛없는 커피를 들이키기도 한다.

좋은 까페의 조건을 잘 알고 있으니 내가 하면 좋을테지만 난 돈이 없으니 하고 만다.

부디 돈 많은 분들은 좋은 까페를 많이 만들어 주기 바란다. 

사족.

나같은 사람이 많은 걸 보면 까페는 요식업이 아니라 단기 부동산업이라는 말이 맞는 것 같긴 하다.

※ 글 순서

▶ 1. 개인정보보호 내부관리계획 수립 및 계획 안

2. 보안부서 운용 관리계획 

3. 각종 보안 지침서 작성 (접근권한, 외주용역 보안교육, 보안감사, 보안시스템, 물리적 보안 등)

4. 직원교육 (재직자, 신규 등)

5. 의료기관 인증 (12.4 개인정보보호 및 보안규정) 관련

6. 의료기관 정보보호 자율점검 서비스, 교육이수 , 세미나

7. 서식 자료

(참고) 보안팀이나 정보보호 전담부서가 없는 중,소병원을 대상으로 합니다.

1. 내부관리계획 수립 안 작성

1) 내부관리계획 작성 및 결재

내부관리계획서는 KISA나 공개된 자료를 참고로 해서 작성하면 된다. 비교적 구하기도 쉽고 표준 안이 있으므로 그대로 변경해서 사용하도 무방하다.

▶ KISA 제공 내부관리계획 작성 방법

다만 내부관리계획안의 경우는 계획서이므로 반드시 병원 사정을 고려하여 작성하되, 작성된 내부관리계획은 반드시 '개인정보관리자' 및 '병원장'의 결재를 승인 후 원본을 보관하고 스캔이미지 등과 함께 병원 홈페이지 등을 통해서 임,직원에게 공개하고 공유할 수 있도록 해야 한다.

내부관리계획은 임,직원에게 공개되는 문서이다. 홈페이지에 공개하는 '개인정보처리방침' 과는 다르다는 점을 기억하기 바란다.

▶ 개인정보보호 내부관리계획 작성 예)

▶ 내부관리계획서 결재서류(예) [서식]

▶ 병원 사내 홈페이지 공개(예)

2) 매년 작성 해야 하는가?

내부관리계획서는 매년 작성해야하는데, 보안 예산이 많거나 정보보호팀이 있는 경우는 업무의 다변화 및 예산 반영, 정보시스템 변경 등의 이슈 등으로 계획서 내용이 매년 다르지만, 작은 병원의 경우는 그렇지가 않다.

정보시스템 변경 이슈 등을제외한다면 거의 없다고 봐도 된다. 그렇다고 해서 년도만 바꾸어서 작성하면 안되고, 반드시 개인정보보호법 등이나 관련 지침사항 등을 보고 변경사항이 있는 지 검토 후 내부관리계획에 반영을 하여야 한다.

3) 내부관리계획에 추가해야 할 서류

병원마다 다르겠지만, 필자의 경우 '보안부서관리계획', '임직원 보안교육계획', '보안점검 및 감사계획' 을 포함하여 경영진에게 보고하도록 했다.  그래야 중복 보고가 없고, 내부관리계획에 포함된 구체적 실천사항이 반영된 계획도 한꺼번에 보고가 가능하기 때문이다.

※ 서식이 필요한 분은 개인적으로 연락주시면 확인 후 제공하겠습니다.

매년 2월 말이나 3월 초 쯤이면 들르는 곳이 있다.

언제부터 인지는 기억이 좀처럼 나진 않지만, 홍매화가 필 무렵이면 통도사의 초입을 걷는 것이 좋았다.

봄이라고는 하지만 커다란 초록이 내뿜는 서늘한 공기와 넓지만 한적한 절의 입구를 걸으면서 마음을 가지런하게 한다.

바뀌기만 하는 세상에 여전히 그대로인 것을 찾아 다니는 것이 나의 고리타분함이다. 

작은 매화나무가 그 자리에서 여전히 꽃을 피워내며, 생을 보여주며 살아내는 것을 본다.

죽은 듯이 있다가 보란 듯이 피는구나. 

그럼에도 벚꽃처럼 소란스럽지 않아서 좋다.

걷다보니 목이 말라 차가운 오미자를 마셨다.

조금의 번민을 그곳에다 내려 놓고 온다.

나에게는 3월이 그 해의 시작인 것 같다.