·

    [ISO 27799] 의료정보보호시스템

    [ISO 27799] 의료정보보호시스템

    📋ISO 27799가 뭔가요?

    ISO 27799 의료정보보호시스템은 의료기관이 가지고 있는 모든 정보를 보호할 수 있도록 돕는 표준이에요.

    개인의 진료 및 처방기록, 검진결과 등 의료 데이터의 기밀성과 무결성, 가용성에 대한 지침을 제공하죠.

    정보의 형태부터 저장 방식, 전송 수단 등을 보호하는 방식을 규정하고 있어요.


    ISO 27799를 취득하면 어떤 혜택이 있나요?

    1. 🤝환자의 의료 정보가 보호돼 신뢰를 유지할 수 있어요.

    환자와 의료기관 사이 오갔던 모든 정보는 안전하게 보호되고 처리될 거예요. 이를 통해 안심하고 의료서비스를 제공받을 수 있죠.

    2. 💉의료 서비스의 안전성을 보장해요.

    안전한 의료 서비스의 기반이 되는 의료 데이터를 보호함으로써 의료 서비스의 안전을 강화할 수 있어요. 믿을 수 있는 정보 하에서 이뤄지는 적절한 치료만큼 안전한 조치는 없으니까요.

    3. 🛡️데이터 보안 시스템을 구축해 법규를 준수할 수 있어요.

    ISO 27799는 의료기관에서 관련 정보를 안전하게 처리하는데 필요한 표준을 제공해요. 암호화나 접근 통제 등의 방식으로 신뢰할 수 있는 보안 프로세스가 구축됩니다.

    4. 🏆의료기관 데이터의 보안성과 무결성, 투명성이 보장돼요.

    특히 민감하게 다뤄지는 의료 데이터를 정해진 규칙에 따라 보호하고, 보안 사고가 발생하더라도 빠르게 대응할 수 있는 체계가 구축될 거예요.

    5. 🌱기업 경영의 투명성과 지속 가능성을 확립할 수 있어요.

    ISO 27299는 기업이 투명한 경영 방식을 도입하고, 이해관계자와의 신뢰를 구축할 수 있도록 지원해요. 이러한 과정으로 법적인 리스크는 줄어들고 장기적으로 안정적인 경영을 유지할 수 있답니다.


    ISO 27799, 어떤  내용을 담고 있나요?

    ISO 27799 인증을 취득하려면 규칙들을 지켜야 해요.

    이 규칙들을 ‘요구사항’이라고 부르는데 ISO 27799은 총 18개의 조항으로 구성되어 있어요.

    처음 3개의 조항은 범위, 참조 및 용어의 정의에 대한 기본적인 정보를 제공해요.


    1. 🎯 적용 범위 (Scope): ISO 27799가 어디에 사용될지 설명해요.

    2. 📑 인용 표준 (Normative references): 표준과 함께 내용을 이해하기 위한 참고자료라고 보면 돼요. 개인정보 보호와 관련된 기본적인 용어와 그의 정의를 알기 위해 보는 것이죠. 규정 준수 담당자와 팀원들이 표준을 이해하고 따르는데 큰 도움이 돼요.

    3. 📃 용어 및 정의 (Terms and definitions): 표준에서 사용되는 특별한 단어들의 뜻을 설명해요. 예를 들어, "이해관계자"가 누구를 말하는지, "시정 조치"가 무엇인지 등을 알려주는 거죠. 이렇게 하면 표준의 내용을 더 정확하게 이해할 수 있어요.


    상세 요구사항 (4~18조)

    나머지 15개의 조항은 기업이 인증을 취득하기 위한 의료정보보호시스템 구축을 위해 꼭 지켜야 하는 ✅ 요구사항들을 담고 있어요.

    4. 개요 (Overview)

    표준의 구조와 범주의 제한에 대해 설명해요.

    5. 정보 보안 정책
    (Information security polices)

    의료 정보 보안을 위한 회사의 목표와 지침을 명확히 수립해야 해요.

    6. 정보 보안 구조
    (Organization of information security)

    의료 정보 자산을 보호하기 위한 조직의 구조와 책임을 체계적으로 설계해야 해요. 보안 역할과 권한이 명확해지면 정보 보안 관리가 더 쉬울 거예요.

    7. 인적 자원 보안
    (Human resource security)

    직원을 채용하기 전 보안 검증을 실시하고, 근무 중에는 보안 교육을 제공해야 해요.

    8. 자산 관리 (Asset management)

    의료 정보 시스템, 하드웨어, 데이터 등의 자산을 식별하고 이를 보호하기 위한 소유권과 관리 절차를 명확히 설정해야 해요.

    9. 접근 통제 (Access control)

    의료 정보 자산에 접근할 수 있는 권한을 최소한으로 설정하고 불필요한 접근을 방지해야 해요.

    10. 암호화 (Cryptography)

    민감한 데이터를 보호하기 위해 전송 중이거나 저장 중인 데이터를 암호화해야 해요.

    11. 물리적, 환경적 보안
    (Physical and environmental security)

    서버실과 같은 중요한 장소에 대한 물리적 접근을 제한하고, 보안 카메라와 출입 통제 시스템 등을 갖춰야 해요.

    12. 운영 보안 (Operation security)

    의료 정보 시스템 운영 중 발생할 수 있는 위험을 줄이기 위해 정기적으로 로그를 모니터링하고, 취약점을 점검해야 해요.

    13. 통신 보안
    (Communications security)

    네트워크와 데이터 전송의 안전성을 보장하기 위해 방화벽, VPN, IDS 등의 보안 솔루션을 도입해야 해요.

    14. 시스템 도입, 개발, 유지보수
    (System acquisition, development and maintenance)

    시스템의 설계부터 유지보수까지 모든 단계에서 보안 요구사항을 고려해야 해요. 특히 개발 단계에서는 취약점 분석을 포함해야 해요.

    15. 공급자 관계
    (Supplier relationships)

    외부 공급자와의 계약 시 보안 요건을 명확히 정의하고, 공급자의 보안 성과를 정기적으로 접근해야 해요.

    16. 정보 보안 사고 관리
    (Information security incident management)

    보안 사고가 발생했을 때 신속히 대응할 수 있는 절차를 마련해야 해요. 사고를 기록하고 재발 방지 대책을 마련해야 하죠.

    17. 비즈니스 연속성 관리의 정보 보안 측면 (Information security aspects of business continuity management)

    비상상황에서도 핵심 의료 정보와 시스템이 보호되도록 계획을 세우고 정기적인 테스트를 통해 효과성을 점검해야 해요.

    18. 준거성 (Compliance)

    법규와 규제를 준수하기 위해 프로세스를 구축하고 이를 정기적으로 감사해요.

    Top