※ 글 순서

1. 개인정보보호 내부관리계획 수립 및 계획 안

2. 보안부서 운용 관리 계획 

3. 각종 보안 지침서 작성 (접근권한, 외주용역 보안교육, 보안감사, 보안시스템, 물리적 보안 등)

▶ 4. 직원교육 (재직자, 신규 등)

5. 의료기관 인증 (12.4 개인정보보호 및 보안규정) 관련

6. 의료기관 정보보호 자율점검 서비스, 교육이수 , 세미나

7. 서식 자료

(참고) 보안팀이나 정보보호 전담부서가 없는 중,소병원을 대상으로 합니다.

4.1 임직원 개인정보보호 교육 계획

교육은 기본적으로 년 1회 이상 시행하는 것으로 계획서를 작성하면 된다.

의료기관의 경우 대형병원 위주로 규제가 되고 점검을 하였는데, 최근에는 중소병원에 대해서도 강화하고 있는 편이다.

의료기관 인증이나 개인정보보호 점검의 경우 가장 중점을 두고 보는 것 중 하나가 직원보안교육이다.

증적자료로 가장 준비를 잘 해야하는 문서 중에 하나이다.

1) 교육 계획서 구성

계획서는 크게 임직원, 보안부서 실무직원, 신규직원 이렇게 3개로 나누어서 계획서를 작성하도록 한다.

교육 방법 및 시기는 꼭 계획서대로 시행하지 않아도 무방하니 계획서는 충실히 작성해서 경영진에게 결재받도록 한다.

▶ 개인정보보호 교육 계획안 서식 예

2) 임직원 교육계획

임직원의 경우 교육의 예외가 없으며, 무조건 년1회 이상 교육을 받을 수 있도록 한다.

교육방법은 온라인, 집체교육, 전달교육 어떤 형식으로든 상관이 없다. 의료기관 사정에 맞게 교육방법을 정하면 된다.

교육 내용은 '개인정보보호법'과 '개인정보 위반사례 및 대응방안'에 대한 내용을 포함하도록 한다.

가끔 똑같은 내용으로 매년 교육을 시행해도 되느냐는 질문을 받는데, 결론적으로 말하면 무방하다.

다만, 개인정보보호법의 개정 내용이나, 의료기관의 정보유출이나 침해 사례가 발생한 경우, 특이한 이슈가 있는 경우 등에 대한 사례를 포함하면 좋겠다.

3) 보안담당자 실무교육

보안담당부서의 경우 직원들에게 전달교육을 하거나 직접 교육을 하는 경우가 많기 때문에 부서장이 해당 직원이 외부기관에 전문교육이나 컨퍼런스, 세미나 등을 참석할 수 있도록 배려하는 것이 좋다.

'개인정보보호법의 개정 사항', '개인정보 암호화' ,'가명정보처리', '클라우드 보안', 'ISMS-P(개인정보보호 관리 인증체계)', '보안시스템 운영'  등에 대해 교육 받을 수 있으면 좋다.

보건복지부·대한병원정보협회·대한병원정보보안협의회·대한보건의료정보관리사협회 등에서 주관하는 컨퍼런스가 무척 많은 편이다. 

의료기관 종사자라면 보안 세미나 및 컨퍼런스의 경우 대부분 무료로 참석 가능하다. 

<참고>  https://www.dailysecu.com/form/register.html?form_id=1672362231 

4.2 교육 실행

의료기관은  집체 교육이 힘든 곳이다. 

직무도 다르고 일하는 시간도 다르고 점심 먹는 시간도 다른 경우가 많아서 교대 근무를 하는 부서가 많아서 한 번에 집체교육을 시행한다는 것은 거의 불가능 하다고 보면 된다.

그래서, 보통은 부서별로 나눠서 하거나 교육 시행을 몇 차시로 나눠서 원하는 때에 와서 듣게 하는 것도 방법이다.

간호직군이 직원이 압도적으로 많은 의료기관의 특성 상 분만이나 육아 휴직으로 인해 교육 미새행 직원이 많은 점도 유념할 필요가 있다.

정보팀이나 전산팀이 없어서 보안교육이 어려운 병원의 경우 온라인 교육을 듣도록 하는 경우도 많다. (교육 효과는 거의 없다고 보면 된다.)

가급적이면 정보보호팀이나 전산팀에서 직접 집체 교육을 하는 것이 바람직하며, 임직원 전체가 힘들다면 신규직원의 교육은 꼭 직접 교육을 해주도록 하는 것이 좋다.

4.3 교육문서 작성

1) 임직원 교육 문서

교육문서는 가급적 PDF로 작성하여 배포하도록 한다. 

의료기관은 망분리가 되어 있거나 인터넷이 차단된 경우가 많고 행정부서를 제외하고는 오피스 관련 프로그램이 설치가 안되어 있는 경우도 많은데 무턱대로 한글이나 워드파일로 작성하고 배포하면 곤란하다.

해당 교육문서를 출력본으로 부서에 보관할 수 있도록 부서장 회의 시 공지해두면 좋다.

▶ 개인정보보호 교육 문서(임직원) 서식 예

2) 신규직원 교육 문서

신규직원의 경우 심도싶은 내용보다는 기본적으로 의료기관에 입사하게 되면 알아야 되는 필수 적인 내용을 포함할 수 있도록 한다. 

신규 입사자가 발생하는 경우 그때마다 정보보호팀이나 전산팀에서 교육이 힘들다면, 그룹웨어 등에 교육문서를 올려두고 전달교육을 하거나 해당 부서의 부서장을 통해서 보안교육을 시행하도록 하는 것도 방법이다.

'의료정보시스템의 접근권한', '사용자계정 관리','환자의 개인정보 보호' 등과 같은 내용을 포함하도록 한다.

필자의 경우 신규입사 시 작성해야 하는 '의료정보시스템 접근권한 신청서'의 작성 요령을 교육 문서에 포함하기도 했다.

4.4 교육시행

개인정보보호교육을 시행하기전 최소 한달전에 그룹웨어 등에 미리 공지하도록 한다.

이때 교육계획문서와 교육문서 등도 같이 공개하서 직원들이 참고할 수 있도록 하고 교육이 있구나 하는 것을 인지할 수 있도록 해야 한다.

가끔 해당 게시물을 올린 적이 있는 지에 대해 의료기관인증 시  조사위원이 확인하는 경우도 있다.

1) 온라인 교육 시행한 경우

해당 사이트에서 보안 교육이 완료가 되면 교육증빙서류(이수증 등) 을 직접 출력하여 첨부해두면 된다.

총무과에서 전체 직원의 이수증을 출력해도 되고, 부서장을 통해 모아서 수령하여도 된다.

2) 직접 교육 시행한 경우

정보보호팀이나 외부전문가에 의해 집체교육을 하는 경우가 대부분일텐데, 이경우 교육장면이 담길 수 있도로 촬영하거나 사진으로 증적자료를 남겨두면 좋다. (교육명이나 일자가 포함이 되면 더욱 좋다)

교육이 완료가 되면 임직원들이 직접 교육참석에 대한 서명을 받도록 하고, 해당 서명자료는 추후 교육결과보고서에 첨부하면 된다.

4.5 결과 보고

결과보고서는 보안교육이 끝난 이후 교육 실행관련 결과를 보고서 형태로 작성해야 한다.

교육시기와 횟수, 방법, 참여인원, 미이수자 인원, 미이수자에 대한 추가교육방안, 실시효과 등을 포함하여 작성하면 된다.

교육계획대로 되었는가를 확인하고 그렇지 못한 경우 다음 계획에 반영할 수 있도록 하여야 한다.

보안교육결과보고서는 반드시 경영진의 결재를 받아서 보관하도록 한다.

계획서와 마찬가지로 각종 인증이나 점검 시 증적자료로 가장 중요한 서류이다.

※ 서식이 필요한 분은 개인적으로 연락주시면 확인 후 제공하겠습니다. (소속 및 성함, 사용 목적 및 필요한 서식)

몇 일 동안 비가 내리고, 누군가가 물에 빠져 영영 돌아오지 못한다는 뉴스가 나오고 있다.
그렇게 거대한 흙탕물에 빠져 죽었다는 소식을 듣게되면 생각나는 사람이 있다.
 
어느 해 여름 비가 억수처럼 내리 던 날이었는데, 엄마는 흙탕물로 가득한 동네 초입에 철퍼덕 앉아 꺼이꺼이 울기만 하였다. 
" 아이고 어쩌누… 내 동생 어쩌누.. 당신이 어떻게든 좀 해봐요. 저기 우리 종환이. 종환이가 저기 있잖아.. 얼른 당신이 들어가봐. " 
분주한 동네 사람들과 물반, 눈물반으로 흠뻑 젖어 있었던 아버지의 모습이 여즉까지 생생하다.
물이 조금씩 빠지고 나서 둘째 외삼촌은 시체로 발견이 되었는데, 아끼던 둘째 동생을 물귀신으로 만들었다는 죄책감에 내 어머니는 한동안 아무것도 먹지 않고 말도 하지 않았다.
비가 그렇게나 많이 오는데 무슨 이유로 엄마는 '종환이' 삼촌에게  동네 밖 심부름을 보냈는지 모르겠지만,  그는 불어난 도랑에 빠져 다시는 돌아오지 못했다.
 
'종환이' 삼촌은 영화 '가을의 전설' 에 나오는 둘째 '트리스탄'처럼 강인한 사람이었다.
세 명의 외삼촌 중에서 가장 나를 예뻐하고 그 까칠하고 거친 수염으로 내 얼굴을 비비며 '내새끼' 그러면서 많이도 안아주었다.
잊고 지내다가 이렇게 비가 하염없이 오는 날이면 기어이 생각 나고야 만다.
한동안 둘째 외삼촌이 없다는 것을 실감하지 못했는데,  어느날 내가 질색하던 수염으로 얼굴을 비비며 안아줄까 하며 나타날 것 같았다.
 
그때의 종환이 삼촌보다 훨씬 나이가 많아진 지금. 당신과 똑닮은 수염으로 내 조카 얼굴을 박박 문지르며 나 또한 무한 애정을 퍼붓고 '내새끼'가 원하는 건 뭐라도 해줄 것 같은 눈빛으로 바라본다.
그때 당신의 그 마음을 알 것 같아서. 슬프다.
 

※ 글 순서

1. 개인정보보호 내부관리계획 수립 및 계획 안

2. 보안부서 운용 관리 계획 

▶ 3. 각종 보안 지침서 작성 (접근권한, 외주용역 보안교육, 보안감사, 보안시스템, 물리적 보안 등)

4. 직원교육 (재직자, 신규 등)

5. 의료기관 인증 (12.4 개인정보보호 및 보안규정) 관련

6. 의료기관 정보보호 자율점검 서비스, 교육이수 , 세미나

7. 서식 자료

(참고) 보안팀이나 정보보호 전담부서가 없는 중,소병원을 대상으로 합니다.

3.5 물리적 보안

1) 개요

물리적 보안은 중요 자산을 훼손, 변조, 도난, 유출 등 다양한 형태의 침해 위협으로부터 보호하기 위한 물리적 보안 세부사항을 정의하는데 목적이 있다.

물리적 보안이 필요한 곳은 중요 지역으로 설정하고 츨입 통제를 할 수 있도로 해야 한다.

전산실이나 기계실의 경우 반드시 통제구역으로 설정하여, 전산실 직원이외에 출입을 엄격히 제한하고, 외주 용역 업체 및업무상 필요한 경우에 대해서도 출입대장을 작성하도록 한다.

'출입통제시스템'을 구축하여서 전자적으로 출입 기록을 관리해도 좋고, 여유가 없는 병원에서는 수기로라도 반드시 '입출입대장'을 작성하여야 한다.

서버실에는 다양한 정보자산을 관리하고 있는 장비들이 많다.

서버실에 외주업체나 수리 목적으로 방문을 하는 경우에는 사전에 '작업신청서'를 작성토록 하고 , 전산팀장의 승인 후 담당자 동행하에 출입토록 한다.  출입대장을 정기적으로 점검할 때, 작업신청서와 대조하여서 누락이 없도록 해야 한다.

2) 물리적 보안 지침서 작성

물리적 보안지침서는 크게 1) 보호구역 설정,  2) 출입관리,  3)장비보안,  4) 사무실 보안관리 으로 작성한다.

보호구역은 정보자산의 유무와 중요도를 감안하여 '통제구역', '제한구역', '접견구역'으로 나누도록 하고 안내판 등을 설치하여 식볋하도록 한다.

통제구역과 제한구역은 직원증이나 출입카드를 통해서 출입통제가 이루어 질 수 있도록 해야한다.

청소요원이나, 외부직원의 출입 시에도 출입통제가 잘 이루어 질 수 있도록 별도 관리하여야 한다.

전산장비의 경우 해당 병원의 중요한 정보자산이다. 

그래서 장비나 정보자산이 외부로 반출이 되는 경우는 전산팀장 및 경영진의 승인을 받도록 해야 한다.

정보자산이 외부로 반출이 되는 경우는 대부분 폐기의 목적으로  이루어지는 경우가 많은데, 폐기하는 경우 안전하고 복구 불가능한 방법으로 폐기가 이루가 질 수 있도록 하고, 관련 증적자료 및 기록을 남길 수 있도록 조치해야 한다.

외부 업체를 통해 폐기 하는 경우 반드시 계약서에 관련 사항을 넣도록 하고, 보안서약서 작성 등 관련 서류도 작성하도록 한다.

▶ 물리적 보안 지침서 작성 예

▶ 전산(기계) 실 출입 대장 서식 예

▶ 정보자산 반/출입 관리 대장 서식 예

3) 기타

물리적 보안은 의료기관 인증 시, 상급종합병원의 경우 ISMS 인증 시 가장 기본적으로 확인하는 사항이다.

기본적이지만, 의외로 잘 관리를 하지 못하는 경우가 많고, 임직원들도 소홀하게 생각하는 경우가 많으므로 반드시 지침을 작성하고 게시판이나 그룹웨어를 통해서 공유하고 정보보호교육도 같이 시행되도록 한다.

※ 서식이 필요한 분은 개인적으로 연락주시면 확인 후 제공하겠습니다.

편애하는 작가의 새 책이 나왔다.

그녀는 나에게 우체국등기로 2권을 보내왔는데, '고선생님' 앞 이라는 봉투의 글씨가 선명했다.

사진을 찍어 고맙다고 전했고, 단정한 그녀의 글을 당분간 읽을 수 있다고 생각하니 설레였다.

늘 가방에 두고 꺼내 들어야지. 

서간집.편지체의 글로 쓴 책.

익숙하면서 낯선글이 편지가 아닐까.

종이가 아닌 다른 매체로라도 우리는 누구에게든 편지를 쓴다. 

나도 누군가에게 편지를 많이 보내던 때가 있었다.

깨끗한 미지를 앞에 두고 검은 펜을 들어 한 글자씩 탁본한 마음을 봉투에 봉해 간절히 보내더랬다.

나의 편지가 한정된 대상에게 보내는 '안부' 라면  용윤선의 편지는 흠모하는 여러 타자에게 보내는 '연서'이다.

이젠 읽을 수 없는 철학자 '김진영'이나 골드베르그 하면 떠오르는 '글렌굴드'처럼 사람이거나 에디오피아 '예가체프'처럼 사람이 아닌 것에게도 그녀는 편지를 쓴다. 심지어 그녀 자신에게도 편지를 썼다.

책을 받자 마자 아직도 책상에 가득한 그때의 그 종이가 생각이 나서 한동안 쓰지 않았던 편지를 썼다.

보낼 마음은 없지만, 보내지 못한 마음은 여전히 많다.

주저하는 단어가 있다면 아마도 '당신에게' 일 것이다.

책은 4월에 받았지만, 이제서야 글을 올린다.

어떤 책은 나만 알았으면 하는 마음도 있는 것이다.

그렇지만 내가 편애하는 작가님이 중쇄를 찍을 수만 있다면야 어떤 방법으로든 홍보하고 싶다.

그것도 아니되면 나라도 사야지.

그러고 보니, 나는 '나에게' 편지를 써 본적이 없구나.

▶ 다시 앉는 밤 - 용윤선 / yeondoo / 24,000원

http://aladin.kr/p/wzyIV

젊음과 청춘이라는 말은 곧 나에게 두려움의 다른 말처럼 들렸다. 그.때.는

마음처럼 되지 않던 그 청춘의 시간은 나에겐 그저 어서 지나가버렸으면 하는 계절 같은 것이었다.

중년이 되고 보니 얼마나 어리석은 생각이었는가를 알게 되었는데, 만개한 4월 교정의 꽃밭을 지나가는 그 어떤 청춘도 꽃을 보지 않더라.

더 이상 꽃이 아닌 나만 꽃을 보고 예쁘다며 감탄하고 있다는 사실에 그들은 꽃이어서 굳이 볼 필요는 없겠구나 했다.

내 청춘은 얼마나 좋았는가 싶다.

꽃밭의 꽃처럼 언제라도 젊고 예쁜 그들의 얼굴을 볼 수가 있었다.

그럼에도 불안하고 초조한 시간이었지만, 불안하고 안정되지 않은 상태가 청춘이었던 것 같다.

맨 앞에 앉아서 졸거나 가끔 초롱한 눈빛으로 강의를 듣던 학생 둘에게 건너편 공대 구내 식당의 짜장면이 맛있으니 한번 가 보길 권했는데, 그 말을 기억한 것인지 다음 수업 때는 나에게 쪼르르 달려와서 "교수님 갔다 왔어요 거기. 공대 짜장면" 하며 웃는다.

꽃 같았던 청춘이었다 하더라도 다시 돌아가고 싶지는 않다.

불안해서도 아니고, 현재의 내가 만족스러워서도 아니다.

누구나 현재 보다는 지나고 나서야 아름다워 보이는 것이 청춘이다.

나를 바라보는 아이들은 현재의 청춘이 고통이 있다 하더라도 부디 그 시간들이 아름다웠으면 좋겠다.

닳고 낡아빠진 어른들 틈으로 기어들어가지 말았으면 좋겠고. 어리석은 그들의 말을 듣지 않았으면 좋겠다.

지나고 나서야 청춘은 아니었으면 좋겠다.

민음사에서 발행하는 '릿터(Littor)'의 인터뷰를 모은 책이다.

인터뷰 책을 좋아하지 않는 편인데, '책' 이야기라니 호기심이 갔다.

그리고 '릿터'는 괜찮은 잡지니까 읽어 보기로 했다.

책을 좋아하는 사람들의 책 이야기는 흥미롭다.

책을 좋아하고 많이 읽는다고 더 좋은 사람이겠느냐는.

우리 사회의 많은 문제점 중 하나가 책을 읽지 않는 것에서 온다고 믿는다.

타인의 생각과 경험을 마주해 보지 않고서는 타인을 이해할 수 없다.

타인의 이해가 부족하면 벽이 생긴다.

그 벽은 타인을 향하기도 하지만, 스스로를 가두기도 한다.

공부로써 책도 좋겠지만, 자신과 타인의 대한 이해로써도 책은 중요하다.

허윤선의 인터뷰집에서는 책을 읽는 사람들이 단순히 물리적 활자철을 사랑한다는 것이 아니라, 자신을 어떻게 인식하고 타인의 생각과 감정을 어떻게 이해하고 있는 지를 선명한 대화를 통해 알려준다.

물론 인터뷰이는 유명인들이다. 세상 고민없고 방황 없을 것 같은 그들 조차도 나와 같구나 하는 안도감을 가질지도 모르겠다.

그런 목적으로 인터뷰이를 정한 것은 아니겠지만 말이다.

책이 두껍지만, 책 읽기를 소재로 한 수다여서 금방 읽힌다.

책이 두렵다면, 서점에라도 가보자.

북적이지만 소란스럽지 않은 그곳에서 즐비한 책이 뿜어내는 지식과 이야기의 향기도 느껴보자.

▶ 읽는 사람  - 허윤선 / 민음사 / 22,000원

알라딘: 읽는 사람 (aladin.co.kr)

※ 글 순서

1. 개인정보보호 내부관리계획 수립 및 계획 안

2. 보안부서 운용 관리 계획 

▶ 3. 각종 보안 지침서 작성 (접근권한, 외주용역 보안교육, 보안감사, 보안시스템, 물리적 보안 등)

4. 직원교육 (재직자, 신규 등)

5. 의료기관 인증 (12.4 개인정보보호 및 보안규정) 관련

6. 의료기관 정보보호 자율점검 서비스, 교육이수 , 세미나

7. 서식 자료

(참고) 보안팀이나 정보보호 전담부서가 없는 중,소병원을 대상으로 합니다.

3.4. 보안지침서 - 보안시스템

1) 개요

중소병원의 경우 보안시스템이 체계적으로 마련이 되어 있지 않는 경우가 많다.

경험에 의하면 어떤 병원에는 방화벽(Firewall) 조차도 구축하지 않고, 네트워크를 운용하는 경우도 봤다.

대형병원 처럼 손실과 장애에 대한 타격이 크다고 인식이 되면 보안시스템 구축과 예산에 여유가 있겠지만, 그렇지 않은 중소병원의 경우는 시스템 비용으로 치부하는 경우가 많다. 또한 대부분의 시스템을 외주업체에 관리를 맡기는 경우가 많아 정작 담당자가 보안시스템이 어떻게 구성되고 어떤 체계가 있는지도 모르기도 한다. 그러므로 지침서와 매뉴얼은 중요하다.

체계적으로 갖추지 못하고 있으니 취약점이 많은 것이고 취약점을 최대한 해결하고, 그것이 어렵다면 경영진에게 보고를 통해 예산 편성을 받거나 수용 가능한 취약점을 정하는 것이 좋다.

보안시스템의 지침서는 외부용역직원이나 전문가와 함께 작성하도록 한다.

아무래도 관리만 하는 전산부서에서 시스템의 상세 특징과 운용 방법에 대해서는 제대로 알지 못하기 때문이다.

보안시스템 지침서는 내부관리계획에 명시된 기술적 보호 조치에 해당되는 모든 시스템에 대해서 작성하도록 한다.

2) 보안시스템 지침서 작성 내용

법적 요구 조건을 만족하는 최소한의 보안시스템 및 솔루션은 아래와 같으면 해당 시스템에 대해 지침서를 만들면 된다.

방화벽(UTM) 구축 및 운영
침입차단시스템 (IPS) 구축 및 운영
데이터베이스 암호화 구축 및 운영
데이터베이스 접근제어 구축 및 운영
PC보안 프로그램 구축 및 운영
백신 소프트웨어 구축 및 운영
SSL (Secure Socket Layer) 암호화
기타 로그 및 백업 관리

▶ 보안시스템 지침서 작성 예

지침서에는 크게 운영 관리에 대한 것과 보안시스템 목록, 보안시스템에 적용할 정책도 상세하고 작성하도록 한다.

정책에 대한 검토는 매년 1회 이상 반드시 실시하고 해당 사항에 대해서는 경영진이나 정보보호관리책임자에게 보고하고 확인받도록 한다.

▶ 개인정보의 안전성 확보조치 기준 다운로드

▶ 개정 내용

   가. (문서명) 『보건의료데이터 활용 가이드라인』

   나. (발간일) 2022.12.28.(수)

   다. (발행기관) 보건복지부·개인정보보호위원회

   라. (주요 개정내용) 

     - 의료영상정보 가명처리 기준 명료화

      * (현행) ①체내영상, ②체외영상, ③단층촬영·3D이미지정보 → (개선) 영상정보

     - 데이터심의위원회(DRB) 운영기준 개선

      * (위원 수) 5인 이상 15인 이하 → 5인 이상, (외부위원 비중) 과반 이상 → 2인 이상

▶ 가이드라인 파일   다운로드 

▶ 출처: 한국보건의료정보원 (2022년 보건의료데이터 활용 가이드라인 개정 안내 | 공지사항 | 알림마당 : 한국보건의료정보원 (k-his.or.kr))

※ 글 순서

1. 개인정보보호 내부관리계획 수립 및 계획 안

2. 보안부서 운용 관리 계획 

▶ 3. 각종 보안 지침서 작성 (접근권한, 외주용역 보안교육, 보안감사, 보안시스템, 물리적 보안 등)

4. 직원교육 (재직자, 신규 등)

5. 의료기관 인증 (12.4 개인정보보호 및 보안규정) 관련

6. 의료기관 정보보호 자율점검 서비스, 교육이수 , 세미나

7. 서식 자료

(참고) 보안팀이나 정보보호 전담부서가 없는 중,소병원을 대상으로 합니다.

3.3. 보안지침서 - 보안감사

1) 보안점검 및 감사지침서 작성

경험상 중소병원의 경우 자체 보안팀이 없으니, 보안감사 활동을 제대로 수행하기도 어렵고 병원에서도 보안감사 지원이 없는 경우도 많다. 

보안 업무라는 것이 대부분 뭘 하지 말라는 것이기 때문에 일어나는 일이기도 하지만, 위협과 침해에 따른 피해는 고스란히 병원과 본인에게 있기 때문에 이점을 강조하는 것이 중요하다.

보안지침서는 전산실 자체에 대한 보안점검과 병원 전체에 대한 보안감사 부분을 크게 나누어 작성하면 된다.

전산실은 서버/스토리지/네트워크/보안시스템 등 모든 전산 운용 자산에 대한 보안점검을 수행할 수 있도록 지침을 만들고, 병원 임직원과 물리적 보안 등을 포함한 내부감사에 집중하여 지침서를 작성하도록 한다.

▶ 보안점검 및 감사지침서 작성 예

2) 보안점검 및 감사계획서 작성

보안감사 계획서는 해당년도 12월에 다른 보안관련 계획서와 함께 작성하도록 한다.

다만, 이전 년도에 미비한 점들을 반드시 반영하여 계획서를 작성하도록 한다.

보안점검 및 내부감사를 계획한 시기의 최소 한달 전쯤에는 해당 보안계획서 및 점검 리스트 등을 첨부하여 경영진의 결재를 득하고, 병원 내부망에 공지를 올리도록 한다.

▶ 보안점검 및 감사계획 안 결재 서류 예

▶ 보안점검 및 감사계획서 예

3) 전산실 보안점검 체크리스트 및 보안점검 결과보고서 

전산실의 경우 대부분의 서버, 스토리지, 보안시스템을 외주에 위탁하 운영하는 경우가 많을 것이다.

그러므로 보안점검은 반드시 해당 장비 주요 담당자에게 확인 받도록 하는 것이 좋다.

그렇게 해야 해당 병원은 정기적으로 보안에 대해 점검을 하고 담당자에게 확인시켜 점검토록 하는 구나 하는 시그널을 보낼 수도, 평소에도 보안에 대해 신경을 쓰도록 유도하는 효과도 있다.

당연히 해당 장비의 보안 점검 시에는 전산실 직원이 같이 점검하는 것이 좋고, 그 결과에 대해 논의하고 공유하여 미흡한 것이나 개선방안이 나오면 결과서 등을 작성하여 부서장에게 보고하고 추후 경영진에도 따로 보고 하여야 한다.

▶ 전산실 보안점검 체크리스트 예 

▶ 전산실 보안점검  결과보고서 예

4)  내부감사 및 점검결과 공유

내부 보안감사를 실시할 경우, 병원의 그룹웨어나 부서장 회의를 통해서 사전에 보안감사 실시에 대해 공지하고, 점검리스트 등도 배포하도록 한다. 

나의 경우에는 딱딱한 '보안감사내역서'라는 말대신 '개인정보자율점검 체크리스트'로 말을 순화하여 각 부서에 사전에 배포하고 전산실에서 점검을 나가도록 하였다.

아무래도 내부직원이기 때문에 점검 시 얼굴을 붉히는 일이 없도록 해야한다. 점검이지 조사가 아니다.

물론 위반사례에 대해서는 꼼꼼하게 기록하고 점검 부서의 부서장에게 서면으로 알려주고 개선하도록 해야 한다.

(위반 직원이나 담당자에게 직접적으로 이야기 해서는 안된다.)

그리고 부서 특징과 관련없는 공통으로 위반한 사항 (예: 비밀번호를 책상에 붙여 놓는 행위 등)에 대해서는 병원 온라인 게시판 등을 통해 공유하도록 한다.

▶ 개인정보자율점검 체크리스트 (보안감사 점검내역) 예

▶ 자체 보안감사 결과 보고서 예

※ 서식이 필요한 분은 개인적으로 연락주시면 확인 후 제공하겠습니다.

※ 글 순서

1. 개인정보보호 내부관리계획 수립 및 계획 안

2. 보안부서 운용 관리 계획 

▶ 3. 각종 보안 지침서 작성 (접근권한, 외주용역 보안교육, 보안감사, 보안시스템, 물리적 보안 등)

4. 직원교육 (재직자, 신규 등)

5. 의료기관 인증 (12.4 개인정보보호 및 보안규정) 관련

6. 의료기관 정보보호 자율점검 서비스, 교육이수 , 세미나

7. 서식 자료

(참고) 보안팀이나 정보보호 전담부서가 없는 중,소병원을 대상으로 합니다.

3.2. 보안지침서 - 외주용역 보안교육 및 관리실태 점검

1) 외주용역 보안교육서 수령 및 실태 점검표 작성

병원은 수탁업체가 많은 직종이어서, 관리해야 할 업체가 많다.

가장 먼저 수탁업체의 명단은 홈페이지의 '개인정보처리방침'에 공개해야 하며 전산팀이나 정보보호팀에서 직접 관리하는 수탁업체가 아니더라 하더라도 관련 부서를 통해서 보안교육과 실태점검이 이루어 질 수 있도록 협조를 구해야 한다.

PACS 시스템의 경우는 영상검사실 부서장에게, 외부검사의뢰 업체의 경우는 진단검사실 부서장에게 보안교육서를 수령할 수 있도록 하고, 보안실태점검서도 함께 수령하도록 해야 한다.

대부분 수탁업체는 병원정보시스템과 게이트웨어 서버를 이용하여 장비와 연결하고 DB서버에 접속을 하고, VPN 등을 사용하여 원격지원을 하기도 한다. 그러므로  반드시 '개인정보처리 위탁계약서' 작성 시 지원하는 업체 직원의 이름과 인적사항을 포함한 '보안서약서'도 함께 수령해야 한다. 

참고로, '개인정보처리 위탁계약서'는  IT물품 계약이나 구매가 진행될 때 함께 수령하는 것이 편하다. (구매부서에 사전에 알려두도록 한다.)

외주용역 보안관리 지침을 작성할 형편이 되지 않는다면, '정보보호 서약서', '수탁업체 개인정보 실태점검표'  2개는 작성하도록 한다.

'수탁업체 개인정보 실태점검표' 는 1년에 한번 주기적으로 수령하고 전산팀에서 점검하도록 한다.

▶ 외주용역 보안관리 지침서 예

▶ 수탁업체 개인정보보호 교육보고서 및 실태 점검표 예

※ 서식이 필요한 분은 개인적으로 연락주시면 확인 후 제공하겠습니다.

그림을 잘 그리지도 못하고 볼 줄도 모르지만, 난 그림을 아주 좋아한다.

사진이 사실과 추억을 보여주는 것이라면, 그림을 사연을 품고 이야기를 들려주기 때문이다.

가끔 갤러리도 들르며, 아트페어가 있다면 비싼 가격표가 매겨진 그림 앞에서 서성이기도 한다.

그럼에도 도슨트가 있는 곳은 피하는 편인데, 그림을 보면서 작가를 상상하고 싶지도 않고, 사실이든 편견이든 도슨트의 견해를 듣는 순간 나도 모르게 그림을 평가해 버리기 때문이다.

보통은 그림을 설명한다.

어떤 화풍의 어떤 재료로 어느 시기에 누구의 영향을 받아 소더비에서 얼마에 팔렸다 등등으로.

이 책이 특별한 것은 화가에 대한 이야기를 들려준다.

꿈을 품으며 그렸든, 먹고 살기 위함이든, 주변인에게 그냥 댓가없이 선물한 것이든, 작가의 생을 들여다 보면 예술은 어쩌면 고통으로 만들어지는 찬란한 부산물처럼 느껴진다.

그렇지만, 그것을 보는 우리는 행복하다.

" 고통은 지나가지만 아름다움은 영원하다네."  - 르누아르

책을 읽고 있으니, 다음에는 도슨트가 있는 미술관에 한 번 가볼까 하는 생각도 든다.

괜히 전문가는 아닐테니까 말이다.

정우철은 자신의 식견을 과하게 책에 넣지 않으면서도 쉽고 몰입감 있게 작가와 그림에 대해 설명한다.

그 점이 이 책에서 가장 좋다.

그림보다 화가가 더 궁금한 사람이라면 더없이 좋은 책이라고 생각한다.

40대에 공무원을 그만두고 그림을 그렸다는 앙리 루소의 이야기가 가장 좋았다.

우리는 타인이 살아가는 속도와 스스로를 비교하며 불안해 합니다.

누구는 벌써 저렇게 성공했는데, 누구는 얼마를 번다는데, 비교는 끝이 없고 스스로를 깎아 내립니다.

정작 중요한 것은 비교가 아니라 내가 좋아하는 것을 꾸준히 하는 것 아닐까요.

산다는 것은 바라는 일입니다. 삶은 목적하고 희망하는 것입니다.

꿈을 향해 서야 합니다. 눈치를 보지 말고 나의 발끝이 가리키는 그곳을 향해 꾸준히 나아가야 합니다.

루소의 그림은 우리에게 분명한 목소리로 말하고 있습니다.

 꿈을 위해서라면 조금 늦어도 괜찮아.

▶ 도슨트 정우철의 미술극장 - 정우철 / EBS Books / 18,800원

https://product.kyobobook.co.kr/detail/S000200485758

아침마다 듣는 라디오가 있다.

그 라디오에서는 아침마다 시를 읽어 주었다.

하루 한편의 시라니.

하나의 단어도 떠올리기 힘든 나에게

매일 읽어주는 시는

영감과 살아낼 의지를 깨우쳐 준다.

시인의 이름이 궁금했다.

그녀의 시집을 골라

버릇처럼 제목으로 지어진 시를 먼저 찾아서 읽는다.

당신의 세계는

어떤 빗소리와 작약을 취급하는지

오래도록 바라보는 바다를 취급하는지

여부를 물었으나

소포는 오지 않고

내 마음속 치욕과 앙금이 많은 것도 재밌어서

나는 오늘도

아무리 희미해도 상관없습니다.

나는 여전히 바다 같은 작약을 빗소리를

오래오래 보고 있습니다.

아침마다 시를 읽어야지.

시 같은 말을 내뱉지는 못할지라도

시 같은 마음을 타인에게 전해 주어야지.

▶ 당신의 세계는 아직도 바다와 빗소리와 작약을 취급하는지 - 김경미 / 민음사 / 12,000원

※ 글 순서

1. 개인정보보호 내부관리계획 수립 및 계획 안

2. 보안부서 운용 관리 계획 

▶ 3. 각종 보안 지침서 작성 (접근권한, 외주용역 보안교육, 보안감사, 보안시스템, 물리적 보안 등)

4. 직원교육 (재직자, 신규 등)

5. 의료기관 인증 (12.4 개인정보보호 및 보안규정) 관련

6. 의료기관 정보보호 자율점검 서비스, 교육이수 , 세미나

7. 서식 자료

(참고) 보안팀이나 정보보호 전담부서가 없는 중,소병원을 대상으로 합니다.

3.1. 보안지침서 - 개인정보 접근권한 및 통제관리 지침서 작성

1) 개인정보 접근권한 및 통제관리 지침

의료기관 인증조사(12.4) 나 보안관련 점검 시 가장 많이 확인하게 되는 지침서 중 하나이다. 

그만큼 제대로 만들어 놓고, 또한 임직원들이 잘 숙지할 수 있도록 지침공개나 교육도 병행되어야 한다.

병원의 접근권한은 의료정보시스템(OCS, EMR)에 대한 접근권한 정책을 말한다.

▶ 접근권한 통제관리 지침서 작성 예

접근권한 및 통제관리 지침은 전산팀과 의무기록팀(실)과 연관이 많다. 

의료기관 인증 조사 시 의료정보에 대한 접근권한을 의무기록실에서 담당하는 경우가 많고 질문도 의무기록 담당자에게 의견을 묻는 경우가 많기 때문에 가급적 전산실 보안담당 직원이 같이 배석하는 것이 좋으며, 해당 지침서도 같이 제출해서 질문을 최소화 할 수 있도록 하는 것이 좋다.

접근권한에 대한 지침과 매뉴얼도 가급적 의무기록실 직원과 공유하고 수정이나, 의견 반영도 같이 하는 것이 바람직하다.

2) 의료정보시스템 접근 권한 생성(변경) 신청서 수령

신규 직원이 입사하는 경우는 '보안서약서'와 '의료정보시스템 접근권한 신청서'를 같이 수령할 수 있도록 총무과나 인사부서에 미리 2가지 서식을 제공해주고 수령할 수 있도록 협조를 구하자.

뿐만아니라, 부서가 변경되는 경우에도 반드시 '접근권한 변경 신청서'를 수령해서 보관하고 시스템에 반영하도록 한다.

▶ 의료정보시스템 접근 권한 생성(변경) 신청서 서식 예

3) 의료정보시스템 접근 권한 생성 및 변경 이력 관리

EMR 프로그램에서 접근권한에 대한 변경 이력이 관리 되는 지도 살펴보아야 한다.

대장으로 관리하는 경우도 있지만, 쉽지가 않기 떄문에 프로그램으로 관리가 되도록 한다.

경우에 따라서 별도 프로그램에 존재하지 않고 데이터베이스 LOG 형태로만 관리하는 경우가 있는데 접근권한에 대한 주기적 검토가 이루어 질 수 없기 때문에 반드시 별도 프로그램으로 구현하도록 한다.

개인정보보법에서는 개인정보시스템에 대한 접근 권한의 부여ㆍ변경ㆍ말소 등에 관한 기준의 수립ㆍ시행하도록 하고, 

" 개인정보처리자의 접근권한 부여, 변경, 말소에 대한 내역은 전자적 혹은 수기로 작성한 관리대장: 최소 3년간 --> 의료기관에 해당

정보통신서비스 제공자 등은 개인정보처리시스템에 접근권한 부여, 변경, 말소 내역을 전자적 혹은 수기로 작성한 관리대장 등에 기록, 해당기록은 최소5년간 보관" 하도록 하고 있다.

※ 서식이 필요한 분은 개인적으로 연락주시면 확인 후 제공하겠습니다.

혼자 있는 것을 좋아하는 사람들이 많다.

내 주변의 대부분은 그렇게 말한다.

그렇다고 혼자를 잘 견디는 사람은 별로 없다.

고요한 혼자의 시간이 필요할 때가 좋다는 것이지만, 두고두고 혼자 인 것을 좋아하는 이는 드물 것이다.

혼자 있는 시간이 아주 긴 나에게는 그 시간을 소중하게 쓰려고 노력하는 편이다.

허투로 다른 것에세 시선을 뺏기지 않도록

번잡한 것들을 주변에 두지 않도록

그리고 가장 중요한 것. 

좋은 것을 많이 보도록 하는 것.

그림은 혼자 있는 시간을 풍요롭게 해준다.

전시회에 가서 일정한 간격을 두고 걸려 있는 그림을 가만히 마주하고 있으면 일렁임과 고요함을 동시에 느낀다.

그림을 그리고 글을 쓰는 '우지현' 작가도 혼자라는 것을 좋아하는 사람 인 것 같다.

혼자 오롯이 방안에서 테라스에서 식당과 까페에서 혼자 있는 그림이 이 책에는 가득하다. 

그럼에도 그림들은 쓸쓸하지 않다.

오히려 단단하게 혼자 서 있는 자기만의 인생을 그림으로 보여주는 것 같아서 좋다.

모두에게는 그만의 방이 있다.

숨고 싶거나 쉬고 싶거나 자기만의 공간으로 운둔하고 싶을 때가 있다.

자기의 방으로 들어간다는 것은 소외나 단절을 의미하는 것은 아니다.

방에서 혼자만의 시간으로 삶을 관조하고, 충전하며, 자신을 다시 조명한다.

관계의 번잡함에 벗어나 마음을 회복한다.

▶ 혼자있기 좋은 방 / 우지현 / 2018년 

http://aladin.kr/p/n1Vi5

나도 누군가의 도움을 받아서 배우고 알게 되고 성장했다.

저 혼자 잘나서 홀로 잘 되는 법은 없다.

티가 나든 그렇지 않든 그 누군가의 도움과 내 서툰 시간들을 기다려 주며 인내한 사람이 반드시 있었을 것이다.

그 언젠가 나도 그 누군가에 대한 고마움을 되갚아야 한다고 생각했다.

하지만, 특정할 수 도 없는 수많은 '그 누군가' 를 다 찾을 수는 없으니 다른 방법을 찾아야 했다.

그래서 선택하게 된 것이 가르치는 일을 하기로 한 것이다.

가르친다는 것은 신념과 체력 그리고 책임감을 가져야 하는 일이다.

처음에는 그런 것들이 나에게 있을까 하는 의문을 가지면서 주저했던 것도 사실이다.

나보다 조금 덜 알고 있는 사람에게 그나마 알고 있는 것들을 나누어 주는 것이, 내가 당연하게 받아왔던 수많은 시간과 인내에 대한 채무를 조금이나마 갚는 길이라는 생각이 들었다.

사실은 가르치면서 배우는 것이 더 많다.

누군가의 선생이 되어보면, 자신이 알고 있는 지식의 깊이가 얼마나 얕고 보잘것 없는 것인지를 알게 된다.

머릿속에 있는 것과 그것을 말로 타인에게 전달하는 것은 다른 문제이며, 더욱이 어렵지 않게 설명해야 하는 것은 더 어렵다.

베테랑 직장인에서 서툰 선생이 되는 과정은 그런 것들을 다시 익히고 공부하는 과정이었다.

어른이 가져야 하는 사회적 책무에 대한 빚갚음으로 시작했던 일이 오히려 나를 다시 배우게 한 것이다.

또 하나의 빚이 생기게 된 것이다.

사족.

나는 더 잘 설명하는 사람보다는 더 잘 헤아려 주는 사람이 되었음 한다.