2020-08-08 02:35 (토)
[MPIS 2017] 한기태 회장, 의료기관 정보보호 관리체계 ISMS 인증 노하우 공유
상태바
[MPIS 2017] 한기태 회장, 의료기관 정보보호 관리체계 ISMS 인증 노하우 공유
  • 길민권 기자
  • 승인 2017.05.22 01:30
이 기사를 공유합니다

400여 명 병원 보안실무자들에게 정보보호 관리과정 및 정보보호 대책 정보공유

▲ 한기태 대한병원정보협회 회장(건국대학교 병원). MPIS 2017에서 ISMS 인증 대응 방안에 대해 강연 진행.
▲ 한기태 대한병원정보협회 회장(건국대학교 병원). MPIS 2017에서 ISMS 인증 대응 방안에 대해 강연 진행.
국내 최대 의료기관 개인정보보호&정보보안 컨퍼런스 MPIS 2017이 지난 5월 18일 한국과학기술회관 대회의실에서 의료기관 정보보안 실무자 400여 명이 참석한 가운데 성황리에 개최됐다. 이 자리에서 한기태 대한병원정보협회 회장(건국대학교병원 정보보안 팀장)은 ‘졍보보호관리체계(ISMS) 인증 대응 방안’을 주제로 키노트 발표를 진행했다. 의료기관 ISMS 인증이 의무화되면서 참관객들의 관심도 뜨거웠고 실무자들에게 많은 도움이 되는 시간이었다.

한기태 회장의 주요 발표내용은 정보보호관리체계 통제 항목에서△정보보호관리 과정(정보보호 정책, 조직, 위험관리, 대책, 사후관리) △정보보호 대책(13개 분야, 92개 통제사항) 등에 대한 상세한 설명이 있었다. 한 회장은 건대병원에서 실제 ISMS 인증 준비과정에서 습득한 노하우를 MPIS 2017에 참가한 병원 실무자들과 공유하기 위해 발표내용을 꼼꼼히 준비했다. 주요 내용은 다음과 같다.

▲ MPIS 2017 컨퍼런스. 400여 명의 의료기관 정보보안 실무자 참석. 한기태 대한병원정보협회 회장 강연중.
▲ MPIS 2017 컨퍼런스. 400여 명의 의료기관 정보보안 실무자 참석. 한기태 대한병원정보협회 회장 강연중.
◇정보보호 관리 과정

정보보호 관리 과정은 정보보호 정책, 조직, 위험관리, 대책, 사후관리로 나뉜다.

정보보호 정책 수립=조직이 수행하는 모든 정보보호 활동의 근거를 포함할 수 있도록 정보보호정책을 수립하고 이 정책은 국가나 관련 산업에서 정하는 정보보호 관련 법, 규제를 만족해야 한다.

범위설정=조직에 미치는 영향을 고려해중요한 업무, 서비스, 조직, 자산 등을 포함할 수 있도록 정보보호 관리체계 범위를 설정하고 범위 내 모든 자산을 식별해문서화해야 한다.

◇경영진 책임 및 조직구성

경영진 참여=정보보호 관리체계 수립 및 운영 등 조직이 수행하는 정보보호 활동 전반에 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정 체계를 수립해야 한다.

정보보호 조직 구성 및 자원 할당=최고경영자는 조직의 규모, 업무 중요도 분석을 통해 정보보호 관리체계의 지속적인 운영이 가능하도록 정보보호 최고책임자, 실무조직 등 정보보호 조직을 구성하고 정보보호 관리체계 운영 활동을 수행하는데 필요한 자원(예산 및 인력)을 확보해야 한다.

◇위험관리

위험관리 방법 및 계획 수립=관리적, 기술적, 물리적, 법적 분야 등 조직의 정보보호 전 영역에 대한 위험식별 및 평가가 가능하도록 위험관리 방법을 선정하고 위험관리의 전문성을 보장할 수 있도록 수행인원, 기간, 대상, 방법 등을 구체적으로 포함한 위험관리계획을 사전에 수립해야 한다

위험식별 및 평가=위험관리 방법 및 계획에 따라 정보보호 전 영역에 대한 위험 식별 및 평가를 연 1회 이상 수행하고 그 결과에 따라 조직에서 수용 가능한 위험수준을 설정하여 관리해야 한다.

정보보호 대책 선정 및 이행계획 수립=위험을 수용 가능한 수준으로 감소시키기 위해 정보보호대책을 선정하고 그 보호대책의 구현 우선순위, 일정, 담당부서 및 담당자 지정, 예산 등을 포함한 이행계획을 수립해 경영진의 승인을 받아야 한다.

▲ 한기태 회장 발표자료 이미지. ISMS 통제항목 리스트
▲ 한기태 회장 발표자료 이미지. ISMS 통제항목 리스트
▲ ISMS 통제항목 리스트
▲ ISMS 통제항목 리스트
◇정보보호 대책 구현

정보보호 대책의 효과적 구현=정보보호대책 이행계획에 따라 보호대책을 구현하고 경영진은 이행결과의 정확성 및 효과성 여부를 확인해야 한다.

내부 공유 및 교육=구현된 정보보호대책을 실제 운영 또는 시행할 부서 및 담당자를 파악하여 관련 내용을 공유하고 교육해야 한다.

◇사후 관리

법적 요구사항 준수검토=조직이 준수해야 할 정보보호 관련 법적요구사항을 지속적으로 파악해 최신성을 유지하고 준수여부를 지속적으로 검토해야 한다.

정보보호 관리체계 운영현황 관리=정보보호 관리체계 범위 내에서 주기적 또는 상시적으로 수행해야 하는 활동을 문서화하고 그 운영현황을 지속적으로 관리해야 한다.

내부감사=조직은 정보보호 관리체계가 정해진 정책 및 법적 요구사항에 따라 효과적으로 운영되고 있는 지를 점검하기 위해 연 1회 이상 내부감사를 수행해야 한다. 이를 위해 감사 기준, 범위, 주기, 방법 등을 구체적으로 정하고 내부감사를 통해 발견된 문제점은 보완조치를 완료해 경영진 및 관련 책임자에게 보고해야 한다. 또한 감사의 독립성 및 전문성을 확보할 수 있도록 감사인력에 대한 자격요건을 정의해야 한다.

다음은 ‘정보보호 대책’으로 13개 분야, 92개 통제항목에 대한 설명이 이어졌다.

정보보호 대책 13개 분야는 △정보보호 정책 △정보보호 조직 △외부자 보안 △정보자산 분류 △정보보호 교육 △인적 보안 △물리적 보안 △시스템 개발 보안 △암호 통제 △접근통제 △운영 보안 △침해사고 관리 △IT재해 복구 등이다.

정보보호 대책 13개 분야 92개 통제 항목에 대한 상세 설명을 한기태 회장의 MPIS 2017 발표자료를 참고하면 된다. 한 회장의 발표자료는 MPIS 2017 등록사이트와 데일리시큐 자료실에서 다운로드 가능하다.

한기태 회장은 “이번에 공개한 ISMS 인증 정보보호 대책 13개 분야 92개 통제사항에 대한 자료는 그 동안의 노하우를 상세하게 정리한 자료다. 의료기관들이 아직 보안인력과 투자도 부족한 상황이라 정보보호 대책을 마련하는데 많은 어려움을 겪고 있다. 이번 자료 공유를 통해 ISMS 인증을 준비하는 타 의료기관 뿐만 아니라 정보보호 강화 니즈를 갖고 노력하고 있는 여러 병원 실무자들에게 도움이 되길 바란다. 혹시 문의사항이 있으면 메일로 문의해주기 바란다”고 밝혔다.

★정보보안 대표 미디어 데일리시큐!★