※ 글 순서

1. 개인정보보호 내부관리계획 수립 및 계획 안

2. 보안부서 운용 관리 계획 

▶ 3. 각종 보안 지침서 작성 (접근권한, 외주용역 보안교육, 보안감사, 보안시스템, 물리적 보안 등)

4. 직원교육 (재직자, 신규 등)

5. 의료기관 인증 (12.4 개인정보보호 및 보안규정) 관련

6. 의료기관 정보보호 자율점검 서비스, 교육이수 , 세미나

7. 서식 자료

(참고) 보안팀이나 정보보호 전담부서가 없는 중,소병원을 대상으로 합니다.

3.3. 보안지침서 - 보안감사

1) 보안점검 및 감사지침서 작성

경험상 중소병원의 경우 자체 보안팀이 없으니, 보안감사 활동을 제대로 수행하기도 어렵고 병원에서도 보안감사 지원이 없는 경우도 많다. 

보안 업무라는 것이 대부분 뭘 하지 말라는 것이기 때문에 일어나는 일이기도 하지만, 위협과 침해에 따른 피해는 고스란히 병원과 본인에게 있기 때문에 이점을 강조하는 것이 중요하다.

보안지침서는 전산실 자체에 대한 보안점검과 병원 전체에 대한 보안감사 부분을 크게 나누어 작성하면 된다.

전산실은 서버/스토리지/네트워크/보안시스템 등 모든 전산 운용 자산에 대한 보안점검을 수행할 수 있도록 지침을 만들고, 병원 임직원과 물리적 보안 등을 포함한 내부감사에 집중하여 지침서를 작성하도록 한다.

▶ 보안점검 및 감사지침서 작성 예

2) 보안점검 및 감사계획서 작성

보안감사 계획서는 해당년도 12월에 다른 보안관련 계획서와 함께 작성하도록 한다.

다만, 이전 년도에 미비한 점들을 반드시 반영하여 계획서를 작성하도록 한다.

보안점검 및 내부감사를 계획한 시기의 최소 한달 전쯤에는 해당 보안계획서 및 점검 리스트 등을 첨부하여 경영진의 결재를 득하고, 병원 내부망에 공지를 올리도록 한다.

▶ 보안점검 및 감사계획 안 결재 서류 예

▶ 보안점검 및 감사계획서 예

3) 전산실 보안점검 체크리스트 및 보안점검 결과보고서 

전산실의 경우 대부분의 서버, 스토리지, 보안시스템을 외주에 위탁하 운영하는 경우가 많을 것이다.

그러므로 보안점검은 반드시 해당 장비 주요 담당자에게 확인 받도록 하는 것이 좋다.

그렇게 해야 해당 병원은 정기적으로 보안에 대해 점검을 하고 담당자에게 확인시켜 점검토록 하는 구나 하는 시그널을 보낼 수도, 평소에도 보안에 대해 신경을 쓰도록 유도하는 효과도 있다.

당연히 해당 장비의 보안 점검 시에는 전산실 직원이 같이 점검하는 것이 좋고, 그 결과에 대해 논의하고 공유하여 미흡한 것이나 개선방안이 나오면 결과서 등을 작성하여 부서장에게 보고하고 추후 경영진에도 따로 보고 하여야 한다.

▶ 전산실 보안점검 체크리스트 예 

▶ 전산실 보안점검  결과보고서 예

4)  내부감사 및 점검결과 공유

내부 보안감사를 실시할 경우, 병원의 그룹웨어나 부서장 회의를 통해서 사전에 보안감사 실시에 대해 공지하고, 점검리스트 등도 배포하도록 한다. 

나의 경우에는 딱딱한 '보안감사내역서'라는 말대신 '개인정보자율점검 체크리스트'로 말을 순화하여 각 부서에 사전에 배포하고 전산실에서 점검을 나가도록 하였다.

아무래도 내부직원이기 때문에 점검 시 얼굴을 붉히는 일이 없도록 해야한다. 점검이지 조사가 아니다.

물론 위반사례에 대해서는 꼼꼼하게 기록하고 점검 부서의 부서장에게 서면으로 알려주고 개선하도록 해야 한다.

(위반 직원이나 담당자에게 직접적으로 이야기 해서는 안된다.)

그리고 부서 특징과 관련없는 공통으로 위반한 사항 (예: 비밀번호를 책상에 붙여 놓는 행위 등)에 대해서는 병원 온라인 게시판 등을 통해 공유하도록 한다.

▶ 개인정보자율점검 체크리스트 (보안감사 점검내역) 예

▶ 자체 보안감사 결과 보고서 예

※ 서식이 필요한 분은 개인적으로 연락주시면 확인 후 제공하겠습니다.