병원과 병원인의 병원신문 최종편집2024-04-16 11:28 (화)
매체소개 기사제보 모바일웹
정보보호 관리체계(ISMS) 인증 범위 놓고 병원 설왕설래
상태바
정보보호 관리체계(ISMS) 인증 범위 놓고 병원 설왕설래
  • 오민호 기자
  • 승인 2016.12.21 23:15
  • 댓글 0
이 기사를 공유합니다
개인정보보호법·정보통신망법…병원혼란만 가중

2017년 12월까지 정보보호 관리체계(ISMS) 인증이 유예됐지만 망분리 등 인증범위에 대한 병원들의 혼선이 빚어지고 있어 정책당국의 명확한 인증범위 확정이 시급하다는 지적이다.

12월20일 오후 2시 대한병원협회(회장 홍정용) 14층 대회의실에서는 상급종합병원 실무자들을 대상으로 정보보호 관리체계(ISMS) 인증 간담회가 열렸지만 개인정보보호법과 정보통신망법 시행으로 어디에 기준을 맞춰 인증범위를 정해야 하는지를 두고 논란이 빚어졌다.

이같은 논란은 상급종합병원 중 일부 병원의 경우 공공기관으로의 성격을 갖고 있어 정보보호 관리 범위에 대해 병원마다 다르게 해석될 수 있는 소지가 많기 때문이다.

즉 개인정보를 취급하는 모든 취급자를 인증 범위에 포함해야 하는지 아니면 병원내 개인정보를 대량으로 다루는 처리자를 따로 분리시켜 인증범위에 포함해야 하는지에 대한 명확한 기준이 없어 병원들이 어려움을 겪고 있다는 것이다.

또 OCS와 EMR 등이 같이 물려 있는 경우가 많아 이 부분을 분리해야 하는지 포함해야 하는지도 결정하기가 어렵다는 의견도 봇물을 이뤘다.

이같은 문제에 대해 이날 병원 정보보호 관리체계(ISMS) 인증 추진계획을 설명한 미래창조과학부 사이버침해대응과 김기홍 사무관은 “정확한 인증범위를 확인해 봐야겠지만 ISMS의 경우 망분리가 필수 사항은 아니다”며 “종합적으로 검토해 다시 안내 하겠다”고 밝혔다.

이어 김 사무관은 “병원별로 사정이 다르기 때문에 병원내에서 필요하다고 생각되거나 중요하다고 판단되면 같이 인증 받는 것도 도움이 될 것”이라며 “신청기관별로 인증범위 및 일정에 대해 KISA와 협의하여 결정해 달라”고 당부했다.

한국인터넷진흥원(KISA) 보안수준인증팀 김선미 팀장은 “그룹웨어, 인사시스템 등은 인증범위에 포함되지 않는다”며 “KISA 역시 공공기관이지만 망분리 등을 따로 해야 한다는 규정은 없다”고 답했다.

또한 ISMS가 관리적 체계 관점에서 점검을 했지만 내년부터는 개인정보보호법 같은 특별법 준수를 확실히 해야 ISMS 인증을 통과할 수 있다는 의견들이 컨설팅업체를 통해 이야기 되고 있다는 지적도 나왔다.

김 사무관은 “ISMS의 핵심요소는 국내 법규를 준수하고 있는지를 요구하고 있다”면서 “개인정보보호법 준수도 심사요소가 되겠지만 중장기·단기 계획을 가지고 있다면 지금 당장 시행하지 않아도 ISMS는 그걸 존중하고 반영할 것”이라고 답했다.

다시 말해 법류 준수를 위한 계획을 병원에서 만들고 실천할 준비를 한다면 인증에 문제가 없다는 것이다.

ISMS 인증유예 기간에 대해서는 지난 11월3일 ‘제9회 병원 의료정보화 발전 포럼’에서 밝힌 바와 같이 2017년 12월까지 유예기간을 부여하고 미인증시 부과하기로 한 과태료 또한 2017년 12월 이후로 유예된다고 재확인했다.

반면 인증비용은 2016년에 인증심사를 받는 경우 인증수수료를 전액 지원하겠다는 기존 입장에서 최초 인증에 한하여 인증수수료 일부를 지원하겠다고 밝혀 변화가 있었다. 지원금은 인증비용의 40∼50% 정도로 정부 예산에서 지원된다.

행자부, 복지부 등과 협의를 통해 정보보호 관련 인증·점검 제도간 심사항목(일부) 생략 등 중복되는 부분에 대한 개선방안도 마련된다.

김 사무관은 “중복되는 인증에 대해서는 보는 시각마다 다를 수 있다”고 전제를 달았지만 “중복되는 부분에 대해 활용이 가능하도록 제도개선을 검토하고 있다”고 말했다.

한편 ISMS 인증을 받은 강북삼성병원 정보전략팀 임승학 팀장은 ISMS 인증을 위해서 오래기간의 준비과정과 보완인력 충원 및 전담인력을 확보하는 등의 노력이 필요했다며 강북삼성병원의 사례를 소개했다.

임 팀장은 “2014년부터 2년 넘게 준비를 과정을 거치면서 새로운 전담인력을 확보하고 매주 팀장회의, 병원장 보고, 의사 등 스태프 교육을 실시했다”고 말했다.

특히 임 팀장은 “컨설팅을 받을지 말지 고민했지만 결과적으로 컨설팅을 받은 것이 많은 도움이 됐다”며 “지금 인증을 준비하는 병원들도 가급적 컨설팅을 받는 것이 좋을 것 같다”고 조언했다.

하지만 강북삼성병원의 경우 그룹차원에서 개인정보 관리의 중요성을 인식해 정보화 지수를 점검하는 등 준비 아닌 준비를 할 수 있는 기반을 갖춰 다른 병원들과의 차이가 있다는 점도 덧붙였다.

저작권자 © 병원신문 무단전재 및 재배포 금지
오민호 기자
오민호 기자 다른기사 보기
당신만 안 본 뉴스
대한민국 제42대 병원계 수장 ‘이성규’
지속가능한 의료체계 위해 제대로 된 보상 필요
심평원, 비상진료대책 현황 숙지 미흡에 ‘유감’
수련병원 50곳 4천238억원 의료수입 감소
[부음] 이주한 안성성모병원장 별세
대형병원 잇단 비상경영 선포
윤 대통령, 필수중증의료 전문병원에 확실한 보상 지시
대한민국 제42대 병원계 수장 ‘이성규’
댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.
주요기사
“용산에는 더 이상 기대할 것 없어, 여당이 나서 주길”
세종충남대병원, 전문의 7명 영입해 진료역량 강화
더민련, 의료공백‧의정갈등 해결 위한 영수회담 제안
‘제약바이오 글로벌 오픈이노베이션’ 행사 개최
“민심은 조속한 진료 정상화와 의료개혁”
에이아이트릭스, 외상중환자외과학회 런천 심포지엄 성료
  • 서울특별시 마포구 마포대로 15 현대빌딩 13, 14층
  • 대표전화(기사제보,광고,구독문의 등) : 02-705-9260~7
  • 팩스 : 02-705-9269
  • 청소년보호책임자 : 윤종원
  • 법인명 : 대한병원협회
  • 제호 : 병원신문
  • 등록번호 : 서울 다 06726
  • 등록일 : 1985년 11월 14일
  • 발행일 : 1986년 4월 21일
  • 발행인 : 윤동섭
  • 편집인 : 이화성
  • e-mail : yjw@kha.or.kr
  • 병원신문 모든 콘텐츠(기사)는 저작권법의 보호를 받는 바, 무단전재, 복사, 배포 등을 금합니다. © 병원신문. All rights reserved.
ND소프트