※ 글 순서

1. 개인정보보호 내부관리계획 수립 및 계획 안

2. 보안부서 운용 관리 계획 

3. 각종 보안 지침서 작성 (접근권한, 외주용역 보안교육, 보안감사, 보안시스템, 물리적 보안 등)

 4. 직원교육 (재직자, 신규 등)

5. 의료기관 인증 (12.4 개인정보보호 및 보안규정) 관련

▶ 6. 의료기관 정보보호 자율점검 서비스, 교육이수 , 세미나

7. 서식 자료

(참고) 보안팀이나 정보보호 전담부서가 없는 중,소병원을 대상으로 합니다.

6.1 의료기관 정보보호 자율점검 서비스 가입

병원협회(kha.or.kr)는 의료기관 ‘개인정보보호 자율규제단체’로 지정받아 개인정보보호를 위해 개인정보 보호 자율점검을 수행하도록 하고 있다.

한국인터넷진흥원에서 ‘개인정보보호 자율점검 지원시스템’을 제공하고 있으며, 의료기관의 경우 병원협회의 회원사 가입을 통해 시스템을 이용할 수 있다. 개인정보보호 자율점검 은 요양기관이 개인정보 관련된 사항을 적법하게 잘 준수하고 있는지 스스로 점검해 볼 수 있도록 한다.

2019년부터 자율 규제단체(의약 단체)가 각 회원사에게 제공하는 방식으로 변경되어 건강보험심사평가원에서 점검 결과 조회가 가능하며, 이외에도 건강보험심사평가원에서는 ‘개인정보보호 현장 지원 컨설팅 서비스’, ‘개인정보보호 교육 서비스’, ‘요양기관 홈페이지 노출 진단 서비스’를 제공하고 있다.

1년에 한번 병원협회를 통해 공문이나 홈페이지를 통해 안내하고, 일정 규모 이하의 중소병원을 대상으로 정보보호에 대한 자율점검을 시행하도록 하고 있다.

만약, 매년 시행하는 자율점검시스템을 통한 자료 제출 등을 하지 않는 경우, 추후 직접 점검을 나올 수 도 있으므로, 가급적이면 행정 업무처럼 하는 것이 좋다.

회원가입은 개인정보 종합포털에서 가능하며, 사업자 - 개인정보자율규제 메뉴에서 회원사로 가입하면 된다.

▶ 회원가입 매뉴얼

▶ 개인정보보호 자율점검표 및 참고자료(병원급 의료기관)

6.2 개인정보보호 교육 이수

전산실이나 정보보호팀이 직원은 별도로 전문적인 개인정보 관련 교육을 이수하도록 해야 한다.

의료기관과 특화된 정보보호 교육이 잘 없기 때문에, 가급적이면 매년 병원협회에서 실시하는 '병원 의료정보화 발전포럼」'에 참여하는 것이 좋을 것 같다.

포럼에 참여하면 개인정보보호 교육 수료증 발급, 자율규제단체 교육 인증의 혜택이 있기 때문에 의료기관의 정보보호책임자와 함께 참석하면 좋다. 

교육장소는 특별한 상황이 아니면, 분당서울대학교병원 헬스케어혁신파크에서 실시하며, 참가비는 회원병원의 경우 66,000원이다. 큰 비용은 아니기 때문에 가능하면 정보보호팀장, 개인정보보호관리책임자 그리고 의무기록팀장도 함께 가기를 권한다.

▶ 2023년도 병원 의료정보화 발전 포럼 프로그램 내용

3. 기타 권장 정보보호 교육 세미나

'의료기관 개인정보보호&정보보안 컨퍼런스 MPIS' 의 경우 내용도 충실하고 최신 기술 동향도 엿볼수 있는 좋은 세미나 겸 교육이다. 필자가 좋아하는 세미나이다.

전국 국공립·대학·민간 의료기관 개인정보보호 및 정보보안 담당자 대상으로 하며 당연히 보안교육 이수도 인정된다. (7시간)

매년 개최되며, 의료기관 종사자의 경우 참가비가 없다. 

▶ 2023년도 MPIS  프로그램 내용

※ 글 순서

1. 개인정보보호 내부관리계획 수립 및 계획 안

2. 보안부서 운용 관리 계획 

3. 각종 보안 지침서 작성 (접근권한, 외주용역 보안교육, 보안감사, 보안시스템, 물리적 보안 등)

 4. 직원교육 (재직자, 신규 등)

▶ 5. 의료기관 인증 (12.4 개인정보보호 및 보안규정) 관련

6. 의료기관 정보보호 자율점검 서비스, 교육이수 , 세미나

7. 서식 자료

(참고) 보안팀이나 정보보호 전담부서가 없는 중,소병원을 대상으로 합니다.

5.1 의료기관 인증

의료기관 인증을 받는 병원의 경우, 정보보호와 관련된 인증 기준은 '12.4 개인정보보호 및 보안 규정' 이다.

선택사항이 아니라 필수 사항이다.

의료기관 인증 시 의무기록팀에서 준비하는 경우가 많은데, 접근권한이나 의무기록 수정 권한 등에 대한 답변만 될 뿐이고 개인정보보호 관련은 답변이 되지 않는 경우를 많이 봤다.

인증 조사에 대비하여 각종 지침이나 규정을 작성해야 하는데, 한 사람이 모든 문서를 작성할 수는 없다.

이미 인증을 받은 병원을 통해서 도움을 구한다 해도 규정이나 문서는 공유되지 못하고 또 가져와서 쓰기에는 병원마다 다른 업무 특징으로 인해 적용하기 어려운 경우가 많다. (타병원 문서를 달라고 하면 곤란해 한다.)

의료기관 인증 내역에 맞게 규정이나 지침을 작성하되, 본인이 근무하는 의료기관의 업무 환경도 함께 고려하는 것이 바람직하다. (3차병원하고 똑같이 할 수는 없는 법이다.)

1주기나 2주기의 경우는 규정문서와 서류를 많이 보지만, 3주기 부터는 실제로 해당 의료기관에 적용하여 제대로 하고 있는가를 위주로 추적조사한다.  어떤 점에 중점을 두고 준비를 해야 하는 것인지도 미리 알아두는 것이 좋다.

5.2 의료기관인증기준 번호 12.4 개인정보보호 및 보안 규정 작성

조사항목 자체는 많지 않지만 필수 인증 기준이며, 정보보호 전반에 대한 조사가 이루어 지기 때문에  조사 범위는 생각보다 넓다고 할 수 있다. (조사위원의 편차도 다른 기준에 비해 심한편이다.)

특히, 전산실의 경우 물리적 접근 통제 절차가 이루어 지는 곳이기 때문에,  병원 시설관련 인증 조사 시 물리적 보안에 대한 것도 함께 확인하는 경우가 많았다.

규정문서는 QI팀이 주도하여 레이아웃이 나오면, 그것을 바탕으로 정보보호팀이나 전산팀에서 작성을 해야 한다.

규정 문서는 전체 부서가 통일해야 하기 때문에, QI팀에서 요구하는 대로 작성해주는 편이 좋다.

규정은 위원회의 서명이 들어 간 이후에는 수정하려면 별도의 입안서를 작성해야 하기 때문에 신중하게 작성하고 오타나오류가 없는 지 부서원에게도 검토시켜 점검할 수 있도록 한다.

'인증기준 12' 는 의무기록팀과 함께 전반적인 검토를 하고 업무분장 후 규정서를 작성하여야 한다.

가령, 의무기록팀에서는 의무기록 수정에 대한 접근권한 설정과 실제 EMR 운영을 하고 있는 전산팀의 접근권한 지침이 다르다면 문제가 된다.

▶ 개인정보보호 및 보안 규정 문서  예

5.3 개인정보보호 및 보안 규정 작성 항목

필자의 경우, 아래 처럼 항목을 전체적으로 작성하여 규정서를 마련하였다.

물론, 별도의 지침서나 매뉴얼 혹은 관련된 서식도 별도로 첨부하여야 한다.

1. 개인정보 취급 관리와 책임

2. 개인정보 보호 정책 및 관련 법률과의 부합성

3. 교육훈련 

4. 개인정보 보호 및 보안 감사

5. 개인정보 외부위탁관리 지침

6. 정보자산관리

7. 물리적 보안

8. 시스템 개발 보안

9. 접근통제관리

10. PC 및 개인용 휴대 단말기 관리

11. 전산 운영 관리

12. 침해사고관리

13. 개인정보보호 및 보안업무를 총괄하는 개인정보 보호책임자와 실무담당자 선정

14. 개인정보 보호를 위한 보안체계

▶ 별첨자료   예

※ 글 순서

1. 개인정보보호 내부관리계획 수립 및 계획 안

2. 보안부서 운용 관리 계획 

3. 각종 보안 지침서 작성 (접근권한, 외주용역 보안교육, 보안감사, 보안시스템, 물리적 보안 등)

▶ 4. 직원교육 (재직자, 신규 등)

5. 의료기관 인증 (12.4 개인정보보호 및 보안규정) 관련

6. 의료기관 정보보호 자율점검 서비스, 교육이수 , 세미나

7. 서식 자료

(참고) 보안팀이나 정보보호 전담부서가 없는 중,소병원을 대상으로 합니다.

4.1 임직원 개인정보보호 교육 계획

교육은 기본적으로 년 1회 이상 시행하는 것으로 계획서를 작성하면 된다.

의료기관의 경우 대형병원 위주로 규제가 되고 점검을 하였는데, 최근에는 중소병원에 대해서도 강화하고 있는 편이다.

의료기관 인증이나 개인정보보호 점검의 경우 가장 중점을 두고 보는 것 중 하나가 직원보안교육이다.

증적자료로 가장 준비를 잘 해야하는 문서 중에 하나이다.

1) 교육 계획서 구성

계획서는 크게 임직원, 보안부서 실무직원, 신규직원 이렇게 3개로 나누어서 계획서를 작성하도록 한다.

교육 방법 및 시기는 꼭 계획서대로 시행하지 않아도 무방하니 계획서는 충실히 작성해서 경영진에게 결재받도록 한다.

▶ 개인정보보호 교육 계획안 서식 예

2) 임직원 교육계획

임직원의 경우 교육의 예외가 없으며, 무조건 년1회 이상 교육을 받을 수 있도록 한다.

교육방법은 온라인, 집체교육, 전달교육 어떤 형식으로든 상관이 없다. 의료기관 사정에 맞게 교육방법을 정하면 된다.

교육 내용은 '개인정보보호법'과 '개인정보 위반사례 및 대응방안'에 대한 내용을 포함하도록 한다.

가끔 똑같은 내용으로 매년 교육을 시행해도 되느냐는 질문을 받는데, 결론적으로 말하면 무방하다.

다만, 개인정보보호법의 개정 내용이나, 의료기관의 정보유출이나 침해 사례가 발생한 경우, 특이한 이슈가 있는 경우 등에 대한 사례를 포함하면 좋겠다.

3) 보안담당자 실무교육

보안담당부서의 경우 직원들에게 전달교육을 하거나 직접 교육을 하는 경우가 많기 때문에 부서장이 해당 직원이 외부기관에 전문교육이나 컨퍼런스, 세미나 등을 참석할 수 있도록 배려하는 것이 좋다.

'개인정보보호법의 개정 사항', '개인정보 암호화' ,'가명정보처리', '클라우드 보안', 'ISMS-P(개인정보보호 관리 인증체계)', '보안시스템 운영'  등에 대해 교육 받을 수 있으면 좋다.

보건복지부·대한병원정보협회·대한병원정보보안협의회·대한보건의료정보관리사협회 등에서 주관하는 컨퍼런스가 무척 많은 편이다. 

의료기관 종사자라면 보안 세미나 및 컨퍼런스의 경우 대부분 무료로 참석 가능하다. 

<참고>  https://www.dailysecu.com/form/register.html?form_id=1672362231 

4.2 교육 실행

의료기관은  집체 교육이 힘든 곳이다. 

직무도 다르고 일하는 시간도 다르고 점심 먹는 시간도 다른 경우가 많아서 교대 근무를 하는 부서가 많아서 한 번에 집체교육을 시행한다는 것은 거의 불가능 하다고 보면 된다.

그래서, 보통은 부서별로 나눠서 하거나 교육 시행을 몇 차시로 나눠서 원하는 때에 와서 듣게 하는 것도 방법이다.

간호직군이 직원이 압도적으로 많은 의료기관의 특성 상 분만이나 육아 휴직으로 인해 교육 미새행 직원이 많은 점도 유념할 필요가 있다.

정보팀이나 전산팀이 없어서 보안교육이 어려운 병원의 경우 온라인 교육을 듣도록 하는 경우도 많다. (교육 효과는 거의 없다고 보면 된다.)

가급적이면 정보보호팀이나 전산팀에서 직접 집체 교육을 하는 것이 바람직하며, 임직원 전체가 힘들다면 신규직원의 교육은 꼭 직접 교육을 해주도록 하는 것이 좋다.

4.3 교육문서 작성

1) 임직원 교육 문서

교육문서는 가급적 PDF로 작성하여 배포하도록 한다. 

의료기관은 망분리가 되어 있거나 인터넷이 차단된 경우가 많고 행정부서를 제외하고는 오피스 관련 프로그램이 설치가 안되어 있는 경우도 많은데 무턱대로 한글이나 워드파일로 작성하고 배포하면 곤란하다.

해당 교육문서를 출력본으로 부서에 보관할 수 있도록 부서장 회의 시 공지해두면 좋다.

▶ 개인정보보호 교육 문서(임직원) 서식 예

2) 신규직원 교육 문서

신규직원의 경우 심도싶은 내용보다는 기본적으로 의료기관에 입사하게 되면 알아야 되는 필수 적인 내용을 포함할 수 있도록 한다. 

신규 입사자가 발생하는 경우 그때마다 정보보호팀이나 전산팀에서 교육이 힘들다면, 그룹웨어 등에 교육문서를 올려두고 전달교육을 하거나 해당 부서의 부서장을 통해서 보안교육을 시행하도록 하는 것도 방법이다.

'의료정보시스템의 접근권한', '사용자계정 관리','환자의 개인정보 보호' 등과 같은 내용을 포함하도록 한다.

필자의 경우 신규입사 시 작성해야 하는 '의료정보시스템 접근권한 신청서'의 작성 요령을 교육 문서에 포함하기도 했다.

4.4 교육시행

개인정보보호교육을 시행하기전 최소 한달전에 그룹웨어 등에 미리 공지하도록 한다.

이때 교육계획문서와 교육문서 등도 같이 공개하서 직원들이 참고할 수 있도록 하고 교육이 있구나 하는 것을 인지할 수 있도록 해야 한다.

가끔 해당 게시물을 올린 적이 있는 지에 대해 의료기관인증 시  조사위원이 확인하는 경우도 있다.

1) 온라인 교육 시행한 경우

해당 사이트에서 보안 교육이 완료가 되면 교육증빙서류(이수증 등) 을 직접 출력하여 첨부해두면 된다.

총무과에서 전체 직원의 이수증을 출력해도 되고, 부서장을 통해 모아서 수령하여도 된다.

2) 직접 교육 시행한 경우

정보보호팀이나 외부전문가에 의해 집체교육을 하는 경우가 대부분일텐데, 이경우 교육장면이 담길 수 있도로 촬영하거나 사진으로 증적자료를 남겨두면 좋다. (교육명이나 일자가 포함이 되면 더욱 좋다)

교육이 완료가 되면 임직원들이 직접 교육참석에 대한 서명을 받도록 하고, 해당 서명자료는 추후 교육결과보고서에 첨부하면 된다.

4.5 결과 보고

결과보고서는 보안교육이 끝난 이후 교육 실행관련 결과를 보고서 형태로 작성해야 한다.

교육시기와 횟수, 방법, 참여인원, 미이수자 인원, 미이수자에 대한 추가교육방안, 실시효과 등을 포함하여 작성하면 된다.

교육계획대로 되었는가를 확인하고 그렇지 못한 경우 다음 계획에 반영할 수 있도록 하여야 한다.

보안교육결과보고서는 반드시 경영진의 결재를 받아서 보관하도록 한다.

계획서와 마찬가지로 각종 인증이나 점검 시 증적자료로 가장 중요한 서류이다.

※ 서식이 필요한 분은 개인적으로 연락주시면 확인 후 제공하겠습니다. (소속 및 성함, 사용 목적 및 필요한 서식)

※ 글 순서

1. 개인정보보호 내부관리계획 수립 및 계획 안

2. 보안부서 운용 관리 계획 

▶ 3. 각종 보안 지침서 작성 (접근권한, 외주용역 보안교육, 보안감사, 보안시스템, 물리적 보안 등)

4. 직원교육 (재직자, 신규 등)

5. 의료기관 인증 (12.4 개인정보보호 및 보안규정) 관련

6. 의료기관 정보보호 자율점검 서비스, 교육이수 , 세미나

7. 서식 자료

(참고) 보안팀이나 정보보호 전담부서가 없는 중,소병원을 대상으로 합니다.

3.5 물리적 보안

1) 개요

물리적 보안은 중요 자산을 훼손, 변조, 도난, 유출 등 다양한 형태의 침해 위협으로부터 보호하기 위한 물리적 보안 세부사항을 정의하는데 목적이 있다.

물리적 보안이 필요한 곳은 중요 지역으로 설정하고 츨입 통제를 할 수 있도로 해야 한다.

전산실이나 기계실의 경우 반드시 통제구역으로 설정하여, 전산실 직원이외에 출입을 엄격히 제한하고, 외주 용역 업체 및업무상 필요한 경우에 대해서도 출입대장을 작성하도록 한다.

'출입통제시스템'을 구축하여서 전자적으로 출입 기록을 관리해도 좋고, 여유가 없는 병원에서는 수기로라도 반드시 '입출입대장'을 작성하여야 한다.

서버실에는 다양한 정보자산을 관리하고 있는 장비들이 많다.

서버실에 외주업체나 수리 목적으로 방문을 하는 경우에는 사전에 '작업신청서'를 작성토록 하고 , 전산팀장의 승인 후 담당자 동행하에 출입토록 한다.  출입대장을 정기적으로 점검할 때, 작업신청서와 대조하여서 누락이 없도록 해야 한다.

2) 물리적 보안 지침서 작성

물리적 보안지침서는 크게 1) 보호구역 설정,  2) 출입관리,  3)장비보안,  4) 사무실 보안관리 으로 작성한다.

보호구역은 정보자산의 유무와 중요도를 감안하여 '통제구역', '제한구역', '접견구역'으로 나누도록 하고 안내판 등을 설치하여 식볋하도록 한다.

통제구역과 제한구역은 직원증이나 출입카드를 통해서 출입통제가 이루어 질 수 있도록 해야한다.

청소요원이나, 외부직원의 출입 시에도 출입통제가 잘 이루어 질 수 있도록 별도 관리하여야 한다.

전산장비의 경우 해당 병원의 중요한 정보자산이다. 

그래서 장비나 정보자산이 외부로 반출이 되는 경우는 전산팀장 및 경영진의 승인을 받도록 해야 한다.

정보자산이 외부로 반출이 되는 경우는 대부분 폐기의 목적으로  이루어지는 경우가 많은데, 폐기하는 경우 안전하고 복구 불가능한 방법으로 폐기가 이루가 질 수 있도록 하고, 관련 증적자료 및 기록을 남길 수 있도록 조치해야 한다.

외부 업체를 통해 폐기 하는 경우 반드시 계약서에 관련 사항을 넣도록 하고, 보안서약서 작성 등 관련 서류도 작성하도록 한다.

▶ 물리적 보안 지침서 작성 예

▶ 전산(기계) 실 출입 대장 서식 예

▶ 정보자산 반/출입 관리 대장 서식 예

3) 기타

물리적 보안은 의료기관 인증 시, 상급종합병원의 경우 ISMS 인증 시 가장 기본적으로 확인하는 사항이다.

기본적이지만, 의외로 잘 관리를 하지 못하는 경우가 많고, 임직원들도 소홀하게 생각하는 경우가 많으므로 반드시 지침을 작성하고 게시판이나 그룹웨어를 통해서 공유하고 정보보호교육도 같이 시행되도록 한다.

※ 서식이 필요한 분은 개인적으로 연락주시면 확인 후 제공하겠습니다.

※ 글 순서

1. 개인정보보호 내부관리계획 수립 및 계획 안

2. 보안부서 운용 관리 계획 

▶ 3. 각종 보안 지침서 작성 (접근권한, 외주용역 보안교육, 보안감사, 보안시스템, 물리적 보안 등)

4. 직원교육 (재직자, 신규 등)

5. 의료기관 인증 (12.4 개인정보보호 및 보안규정) 관련

6. 의료기관 정보보호 자율점검 서비스, 교육이수 , 세미나

7. 서식 자료

(참고) 보안팀이나 정보보호 전담부서가 없는 중,소병원을 대상으로 합니다.

3.4. 보안지침서 - 보안시스템

1) 개요

중소병원의 경우 보안시스템이 체계적으로 마련이 되어 있지 않는 경우가 많다.

경험에 의하면 어떤 병원에는 방화벽(Firewall) 조차도 구축하지 않고, 네트워크를 운용하는 경우도 봤다.

대형병원 처럼 손실과 장애에 대한 타격이 크다고 인식이 되면 보안시스템 구축과 예산에 여유가 있겠지만, 그렇지 않은 중소병원의 경우는 시스템 비용으로 치부하는 경우가 많다. 또한 대부분의 시스템을 외주업체에 관리를 맡기는 경우가 많아 정작 담당자가 보안시스템이 어떻게 구성되고 어떤 체계가 있는지도 모르기도 한다. 그러므로 지침서와 매뉴얼은 중요하다.

체계적으로 갖추지 못하고 있으니 취약점이 많은 것이고 취약점을 최대한 해결하고, 그것이 어렵다면 경영진에게 보고를 통해 예산 편성을 받거나 수용 가능한 취약점을 정하는 것이 좋다.

보안시스템의 지침서는 외부용역직원이나 전문가와 함께 작성하도록 한다.

아무래도 관리만 하는 전산부서에서 시스템의 상세 특징과 운용 방법에 대해서는 제대로 알지 못하기 때문이다.

보안시스템 지침서는 내부관리계획에 명시된 기술적 보호 조치에 해당되는 모든 시스템에 대해서 작성하도록 한다.

2) 보안시스템 지침서 작성 내용

법적 요구 조건을 만족하는 최소한의 보안시스템 및 솔루션은 아래와 같으면 해당 시스템에 대해 지침서를 만들면 된다.

방화벽(UTM) 구축 및 운영
침입차단시스템 (IPS) 구축 및 운영
데이터베이스 암호화 구축 및 운영
데이터베이스 접근제어 구축 및 운영
PC보안 프로그램 구축 및 운영
백신 소프트웨어 구축 및 운영
SSL (Secure Socket Layer) 암호화
기타 로그 및 백업 관리

▶ 보안시스템 지침서 작성 예

지침서에는 크게 운영 관리에 대한 것과 보안시스템 목록, 보안시스템에 적용할 정책도 상세하고 작성하도록 한다.

정책에 대한 검토는 매년 1회 이상 반드시 실시하고 해당 사항에 대해서는 경영진이나 정보보호관리책임자에게 보고하고 확인받도록 한다.

▶ 개인정보의 안전성 확보조치 기준 다운로드

※ 글 순서

1. 개인정보보호 내부관리계획 수립 및 계획 안

2. 보안부서 운용 관리 계획 

▶ 3. 각종 보안 지침서 작성 (접근권한, 외주용역 보안교육, 보안감사, 보안시스템, 물리적 보안 등)

4. 직원교육 (재직자, 신규 등)

5. 의료기관 인증 (12.4 개인정보보호 및 보안규정) 관련

6. 의료기관 정보보호 자율점검 서비스, 교육이수 , 세미나

7. 서식 자료

(참고) 보안팀이나 정보보호 전담부서가 없는 중,소병원을 대상으로 합니다.

3.3. 보안지침서 - 보안감사

1) 보안점검 및 감사지침서 작성

경험상 중소병원의 경우 자체 보안팀이 없으니, 보안감사 활동을 제대로 수행하기도 어렵고 병원에서도 보안감사 지원이 없는 경우도 많다. 

보안 업무라는 것이 대부분 뭘 하지 말라는 것이기 때문에 일어나는 일이기도 하지만, 위협과 침해에 따른 피해는 고스란히 병원과 본인에게 있기 때문에 이점을 강조하는 것이 중요하다.

보안지침서는 전산실 자체에 대한 보안점검과 병원 전체에 대한 보안감사 부분을 크게 나누어 작성하면 된다.

전산실은 서버/스토리지/네트워크/보안시스템 등 모든 전산 운용 자산에 대한 보안점검을 수행할 수 있도록 지침을 만들고, 병원 임직원과 물리적 보안 등을 포함한 내부감사에 집중하여 지침서를 작성하도록 한다.

▶ 보안점검 및 감사지침서 작성 예

2) 보안점검 및 감사계획서 작성

보안감사 계획서는 해당년도 12월에 다른 보안관련 계획서와 함께 작성하도록 한다.

다만, 이전 년도에 미비한 점들을 반드시 반영하여 계획서를 작성하도록 한다.

보안점검 및 내부감사를 계획한 시기의 최소 한달 전쯤에는 해당 보안계획서 및 점검 리스트 등을 첨부하여 경영진의 결재를 득하고, 병원 내부망에 공지를 올리도록 한다.

▶ 보안점검 및 감사계획 안 결재 서류 예

▶ 보안점검 및 감사계획서 예

3) 전산실 보안점검 체크리스트 및 보안점검 결과보고서 

전산실의 경우 대부분의 서버, 스토리지, 보안시스템을 외주에 위탁하 운영하는 경우가 많을 것이다.

그러므로 보안점검은 반드시 해당 장비 주요 담당자에게 확인 받도록 하는 것이 좋다.

그렇게 해야 해당 병원은 정기적으로 보안에 대해 점검을 하고 담당자에게 확인시켜 점검토록 하는 구나 하는 시그널을 보낼 수도, 평소에도 보안에 대해 신경을 쓰도록 유도하는 효과도 있다.

당연히 해당 장비의 보안 점검 시에는 전산실 직원이 같이 점검하는 것이 좋고, 그 결과에 대해 논의하고 공유하여 미흡한 것이나 개선방안이 나오면 결과서 등을 작성하여 부서장에게 보고하고 추후 경영진에도 따로 보고 하여야 한다.

▶ 전산실 보안점검 체크리스트 예 

▶ 전산실 보안점검  결과보고서 예

4)  내부감사 및 점검결과 공유

내부 보안감사를 실시할 경우, 병원의 그룹웨어나 부서장 회의를 통해서 사전에 보안감사 실시에 대해 공지하고, 점검리스트 등도 배포하도록 한다. 

나의 경우에는 딱딱한 '보안감사내역서'라는 말대신 '개인정보자율점검 체크리스트'로 말을 순화하여 각 부서에 사전에 배포하고 전산실에서 점검을 나가도록 하였다.

아무래도 내부직원이기 때문에 점검 시 얼굴을 붉히는 일이 없도록 해야한다. 점검이지 조사가 아니다.

물론 위반사례에 대해서는 꼼꼼하게 기록하고 점검 부서의 부서장에게 서면으로 알려주고 개선하도록 해야 한다.

(위반 직원이나 담당자에게 직접적으로 이야기 해서는 안된다.)

그리고 부서 특징과 관련없는 공통으로 위반한 사항 (예: 비밀번호를 책상에 붙여 놓는 행위 등)에 대해서는 병원 온라인 게시판 등을 통해 공유하도록 한다.

▶ 개인정보자율점검 체크리스트 (보안감사 점검내역) 예

▶ 자체 보안감사 결과 보고서 예

※ 서식이 필요한 분은 개인적으로 연락주시면 확인 후 제공하겠습니다.

※ 글 순서

1. 개인정보보호 내부관리계획 수립 및 계획 안

2. 보안부서 운용 관리 계획 

▶ 3. 각종 보안 지침서 작성 (접근권한, 외주용역 보안교육, 보안감사, 보안시스템, 물리적 보안 등)

4. 직원교육 (재직자, 신규 등)

5. 의료기관 인증 (12.4 개인정보보호 및 보안규정) 관련

6. 의료기관 정보보호 자율점검 서비스, 교육이수 , 세미나

7. 서식 자료

(참고) 보안팀이나 정보보호 전담부서가 없는 중,소병원을 대상으로 합니다.

3.2. 보안지침서 - 외주용역 보안교육 및 관리실태 점검

1) 외주용역 보안교육서 수령 및 실태 점검표 작성

병원은 수탁업체가 많은 직종이어서, 관리해야 할 업체가 많다.

가장 먼저 수탁업체의 명단은 홈페이지의 '개인정보처리방침'에 공개해야 하며 전산팀이나 정보보호팀에서 직접 관리하는 수탁업체가 아니더라 하더라도 관련 부서를 통해서 보안교육과 실태점검이 이루어 질 수 있도록 협조를 구해야 한다.

PACS 시스템의 경우는 영상검사실 부서장에게, 외부검사의뢰 업체의 경우는 진단검사실 부서장에게 보안교육서를 수령할 수 있도록 하고, 보안실태점검서도 함께 수령하도록 해야 한다.

대부분 수탁업체는 병원정보시스템과 게이트웨어 서버를 이용하여 장비와 연결하고 DB서버에 접속을 하고, VPN 등을 사용하여 원격지원을 하기도 한다. 그러므로  반드시 '개인정보처리 위탁계약서' 작성 시 지원하는 업체 직원의 이름과 인적사항을 포함한 '보안서약서'도 함께 수령해야 한다. 

참고로, '개인정보처리 위탁계약서'는  IT물품 계약이나 구매가 진행될 때 함께 수령하는 것이 편하다. (구매부서에 사전에 알려두도록 한다.)

외주용역 보안관리 지침을 작성할 형편이 되지 않는다면, '정보보호 서약서', '수탁업체 개인정보 실태점검표'  2개는 작성하도록 한다.

'수탁업체 개인정보 실태점검표' 는 1년에 한번 주기적으로 수령하고 전산팀에서 점검하도록 한다.

▶ 외주용역 보안관리 지침서 예

▶ 수탁업체 개인정보보호 교육보고서 및 실태 점검표 예

※ 서식이 필요한 분은 개인적으로 연락주시면 확인 후 제공하겠습니다.

※ 글 순서

1. 개인정보보호 내부관리계획 수립 및 계획 안

2. 보안부서 운용 관리 계획 

▶ 3. 각종 보안 지침서 작성 (접근권한, 외주용역 보안교육, 보안감사, 보안시스템, 물리적 보안 등)

4. 직원교육 (재직자, 신규 등)

5. 의료기관 인증 (12.4 개인정보보호 및 보안규정) 관련

6. 의료기관 정보보호 자율점검 서비스, 교육이수 , 세미나

7. 서식 자료

(참고) 보안팀이나 정보보호 전담부서가 없는 중,소병원을 대상으로 합니다.

3.1. 보안지침서 - 개인정보 접근권한 및 통제관리 지침서 작성

1) 개인정보 접근권한 및 통제관리 지침

의료기관 인증조사(12.4) 나 보안관련 점검 시 가장 많이 확인하게 되는 지침서 중 하나이다. 

그만큼 제대로 만들어 놓고, 또한 임직원들이 잘 숙지할 수 있도록 지침공개나 교육도 병행되어야 한다.

병원의 접근권한은 의료정보시스템(OCS, EMR)에 대한 접근권한 정책을 말한다.

▶ 접근권한 통제관리 지침서 작성 예

접근권한 및 통제관리 지침은 전산팀과 의무기록팀(실)과 연관이 많다. 

의료기관 인증 조사 시 의료정보에 대한 접근권한을 의무기록실에서 담당하는 경우가 많고 질문도 의무기록 담당자에게 의견을 묻는 경우가 많기 때문에 가급적 전산실 보안담당 직원이 같이 배석하는 것이 좋으며, 해당 지침서도 같이 제출해서 질문을 최소화 할 수 있도록 하는 것이 좋다.

접근권한에 대한 지침과 매뉴얼도 가급적 의무기록실 직원과 공유하고 수정이나, 의견 반영도 같이 하는 것이 바람직하다.

2) 의료정보시스템 접근 권한 생성(변경) 신청서 수령

신규 직원이 입사하는 경우는 '보안서약서'와 '의료정보시스템 접근권한 신청서'를 같이 수령할 수 있도록 총무과나 인사부서에 미리 2가지 서식을 제공해주고 수령할 수 있도록 협조를 구하자.

뿐만아니라, 부서가 변경되는 경우에도 반드시 '접근권한 변경 신청서'를 수령해서 보관하고 시스템에 반영하도록 한다.

▶ 의료정보시스템 접근 권한 생성(변경) 신청서 서식 예

3) 의료정보시스템 접근 권한 생성 및 변경 이력 관리

EMR 프로그램에서 접근권한에 대한 변경 이력이 관리 되는 지도 살펴보아야 한다.

대장으로 관리하는 경우도 있지만, 쉽지가 않기 떄문에 프로그램으로 관리가 되도록 한다.

경우에 따라서 별도 프로그램에 존재하지 않고 데이터베이스 LOG 형태로만 관리하는 경우가 있는데 접근권한에 대한 주기적 검토가 이루어 질 수 없기 때문에 반드시 별도 프로그램으로 구현하도록 한다.

개인정보보법에서는 개인정보시스템에 대한 접근 권한의 부여ㆍ변경ㆍ말소 등에 관한 기준의 수립ㆍ시행하도록 하고, 

" 개인정보처리자의 접근권한 부여, 변경, 말소에 대한 내역은 전자적 혹은 수기로 작성한 관리대장: 최소 3년간 --> 의료기관에 해당

정보통신서비스 제공자 등은 개인정보처리시스템에 접근권한 부여, 변경, 말소 내역을 전자적 혹은 수기로 작성한 관리대장 등에 기록, 해당기록은 최소5년간 보관" 하도록 하고 있다.

※ 서식이 필요한 분은 개인적으로 연락주시면 확인 후 제공하겠습니다.

※ 글 순서

1. 개인정보보호 내부관리계획 수립 및 계획 안

▶ 2. 보안부서 운용 관리 계획 

3. 각종 보안 지침서 작성 (접근권한, 외주용역 보안교육, 보안감사, 보안시스템, 물리적 보안 등)

4. 직원교육 (재직자, 신규 등)

5. 의료기관 인증 (12.4 개인정보보호 및 보안규정) 관련

6. 의료기관 정보보호 자율점검 서비스, 교육이수 , 세미나

7. 서식 자료

(참고) 보안팀이나 정보보호 전담부서가 없는 중,소병원을 대상으로 합니다.

2. 보안부서 관리 운용 계획

1)  보안부서 운용 계획서가 필요한가?

대부분 중소병원의 전담 보안부서를 운용하지는 않고 전산실이나 타부서의 부서장이 겸직하면서 보안운용을 하는 경우가 많다. 그렇다 하더라도 보안부서를 운용하고 있으며, 전산실에서 보안담당의 어떤 업무를 하고 있는지 작성할 필요는 있다.

그렇게 해야, 경영진은 보안과 관련된 무슨일을 하는지 알 수 있고, 운용 계획서가 있어야 예산을 편성할 수 있기 때문이다.

뿐만 아니라, 각종 인증조사나 평가 시 전담부서가 없다 하더라도 정보보호 활동을 주관하는 부서가 있구나가 반영이 되기 때문이다. 그렇다면 증빙자료가 있어야 하며, 그 증빙자료의 첫 번째는 계획서이다.

2) 보안관리부서 운용계획서 작성 예

계획서는 가급적 년도가 바뀌기 전에 해당년도 전년도 12월에 작성하는 것이 좋다.

모든 계획서는 결과보고가 있어야 성과를 확인 할 수 있다. 그래서 계획서를 작성하기 전에 결과보고서를 작성하고 그 결과를 확인 후 하지 못했거나 미비한 것에 대해서는 다음 해 계획서에 반영하도록 한다.

▶ 보안관리부서 운용계획서 작성 예

3) 소요예산 및 기대효과

부서운용계획서에는 반드시 소요예산(예상) 및 기대효과에 대해서 언급하도록 한다.

모든 보안 행위는 예산이 필요하며, 그 예산 규모에 따라 병원이 보안관리에 어느 정도로 신경을 쓰고 있는지가 객관화 된다. (증빙자료로 쓰기에도 좋다.)

4) 타임테이블 작성

앞서도 잠깐 언급했지만, 언제 결과보고서 및 계획서를 작성하고, 평가 및 각종 행정사항들을 언제 시행 하는가에 대해  타임테이블을 작성하고 경영진이나 정보보호책임자에게 보고하는 것이 좋다.

타임테이블은 월별로 시행해야 할 보안활동 사항이나 행정내역에 대해 간단하게 작성하면 된다. 

이를 정리해서 따로 소요되는 예산도 같이 작성하면 좋다.

▶ 보안관리부서 운용계획서 '타임테이블' 작성  예

※ 서식이 필요한 분은 개인적으로 연락주시면 확인 후 제공하겠습니다.

※ 글 순서

▶ 1. 개인정보보호 내부관리계획 수립 및 계획 안

2. 보안부서 운용 관리계획 

3. 각종 보안 지침서 작성 (접근권한, 외주용역 보안교육, 보안감사, 보안시스템, 물리적 보안 등)

4. 직원교육 (재직자, 신규 등)

5. 의료기관 인증 (12.4 개인정보보호 및 보안규정) 관련

6. 의료기관 정보보호 자율점검 서비스, 교육이수 , 세미나

7. 서식 자료

(참고) 보안팀이나 정보보호 전담부서가 없는 중,소병원을 대상으로 합니다.

1. 내부관리계획 수립 안 작성

1) 내부관리계획 작성 및 결재

내부관리계획서는 KISA나 공개된 자료를 참고로 해서 작성하면 된다. 비교적 구하기도 쉽고 표준 안이 있으므로 그대로 변경해서 사용하도 무방하다.

▶ KISA 제공 내부관리계획 작성 방법

다만 내부관리계획안의 경우는 계획서이므로 반드시 병원 사정을 고려하여 작성하되, 작성된 내부관리계획은 반드시 '개인정보관리자' 및 '병원장'의 결재를 승인 후 원본을 보관하고 스캔이미지 등과 함께 병원 홈페이지 등을 통해서 임,직원에게 공개하고 공유할 수 있도록 해야 한다.

내부관리계획은 임,직원에게 공개되는 문서이다. 홈페이지에 공개하는 '개인정보처리방침' 과는 다르다는 점을 기억하기 바란다.

▶ 개인정보보호 내부관리계획 작성 예)

▶ 내부관리계획서 결재서류(예) [서식]

▶ 병원 사내 홈페이지 공개(예)

2) 매년 작성 해야 하는가?

내부관리계획서는 매년 작성해야하는데, 보안 예산이 많거나 정보보호팀이 있는 경우는 업무의 다변화 및 예산 반영, 정보시스템 변경 등의 이슈 등으로 계획서 내용이 매년 다르지만, 작은 병원의 경우는 그렇지가 않다.

정보시스템 변경 이슈 등을제외한다면 거의 없다고 봐도 된다. 그렇다고 해서 년도만 바꾸어서 작성하면 안되고, 반드시 개인정보보호법 등이나 관련 지침사항 등을 보고 변경사항이 있는 지 검토 후 내부관리계획에 반영을 하여야 한다.

3) 내부관리계획에 추가해야 할 서류

병원마다 다르겠지만, 필자의 경우 '보안부서관리계획', '임직원 보안교육계획', '보안점검 및 감사계획' 을 포함하여 경영진에게 보고하도록 했다.  그래야 중복 보고가 없고, 내부관리계획에 포함된 구체적 실천사항이 반영된 계획도 한꺼번에 보고가 가능하기 때문이다.

※ 서식이 필요한 분은 개인적으로 연락주시면 확인 후 제공하겠습니다.

병원의 전산실이나 정보보호팀 혹은 의무기록팀에 근무하면 의료기관 인증이나 ISMS 등을 대비해서 내부관리계획 및 각종 보안지침서를 작성해야 한다.

실무 못지 않게 문서 작성은 참으로 어려운 일이다.

대부분 근무하고 계시는 선생님들은 타병원에서 작성한 문서를 친분(?)을 이용해서 얻어 쓰거나, 심한 경우는 병원 이름만 바꿔서 지침서로 사용하는 경우도 많이 봤다.

물론 그렇게 해도 지침이나 규정으로 정한 내용대로 보안 운용을 잘한다면 모르겠지만, 병원의 종류나 특징이 다르듯, 근무하고 있는 병원의 내부 사정이나 보안 운용 상황은 병원마다 다르기 때문에 참고는 하되 실제로 우리병원에서 지침을 지키고 활용할 수 있을 지 확인해야 한다. 지침에 있는 내용을 정확히 파악도 하지 않은 채로 보안 운용을 하다가 정작 보안점검이나 의료기관 인증 시에 지침이나 운용계획과 다르다거나, 관련 자료를 확보하지 못하고 있다거나 하면 난감해 질 수도 있기 때문이다.

대형병원이야 보안팀이나 정보보호팀이 따로 있어서 그나마 나은 편이지만, 중소병원이나 전산팀에서 정보보호팀을 겸하는 곳에서는 보안정책과 법을 공부하고 이를 관리계획이나 지침, 매뉴얼 등으로 작성하기는 쉬운 것이 아니다.

나 또한 종합병원과 전문병원에서 다년간 근무를 하였지만, 보안 전문가가 아니다 보니 교육이나 공부를 하면서 보안 운영 정책을 세우고, 지침과 매뉴얼도 만들었다.

(이도 저도 안되면 인터넷진흥원 사이트에서 자료를 다운 받아 조금의 수정만 거쳐서 사용하기도 하였다.)

중소 의료기관에서 참조할 만한 정보보호 관련 지침 및 매뉴얼 문서 작성 방법을 하나 씩 올려두려고 한다.

문서를 통째로 올려 놓을수는 없고, 조금의 팁이나 방법만 하나 씩 올려 놓도록 하겠다.

물론 내가 작성한 방법이 정답도 아니니 참조 용도로만 사용하면 좋겠다.

<연재 계획>

1. 개인정보보호 내부관리계획 수립 및 계획 안

2. 보안부서 운용 관리계획 

3. 각종 보안 지침서 작성 (접근권한, 외주용역 보안교육, 보안감사, 보안시스템, 물리적 보안 등)

4. 직원교육 (재직자, 신규 등)

5. 의료기관 인증 (12.4 개인정보보호 및 보안규정) 관련

6. 의료기관 정보보호 자율점검 서비스, 교육이수 , 세미나

7. 서식 자료