2024-11-21 18:40 (목)
한기태 대한병원정보협회 회장 “EMR 인증, 보안성 부문 대응은 이렇게…”
상태바
한기태 대한병원정보협회 회장 “EMR 인증, 보안성 부문 대응은 이렇게…”
  • 길민권 기자
  • 승인 2020.10.22 23:09
이 기사를 공유합니다

“인증기준에 맞게 시나리오·담당자·시연화면 등 미리 준비해야”
“ISMS 인증 받은 상급병원, 14개 중 3개 항목 제외한 나머지 면제”
‘K-HOSPITAL FAIR 2020(국제 병원 및 의료기기 산업박람회)’에서 대한병원정보협회 한기태 회장이 ‘전자의무기록 인증 대응(보안성 부문)’을 주제로 인증 준비에 필요한 실무적인 내용을 전달하고 있다. -데일리시큐-
‘K-HOSPITAL FAIR 2020(국제 병원 및 의료기기 산업박람회)’에서 대한병원정보협회 한기태 회장이 ‘전자의무기록 인증 대응(보안성 부문)’을 주제로 인증 준비에 필요한 실무적인 내용을 전달하고 있다. -데일리시큐-

21일 코엑스에서 개최된 ‘K-HOSPITAL FAIR 2020(국제 병원 및 의료기기 산업박람회)’에서 대한병원정보협회(회장 한기태. 건국대병원 정보보호팀장) 주최 학술대회가 ‘COVID19와 의료정보보호’란 주제로 열렸다.

이날 한기태 대한병원정보협회 회장은 ‘전자의무기록 인증 대응(보안성 부문)’을 주제로 인증실무에 꼭 필요 내용을 전달해 큰 관심을 끌었다.

한 회장은 “전자의무기록(이하 EMR) 인증은 인증기준에 근거해 대응해야 한다. 인증기준에 맞는 대응 프로세스를 수립하고 담당자와 시연화면을 준비하는 것이 핵심”이라며 “EMR 인증은 ISMS 인증과 달리 14개 보안성 항목에 대해 전수조사를 한다. 따라서 그에 맞는 시연과 증빙자료를 잘 준비해야 한다”고 설명했다.

EMR 보안성 부문 인증은 △인증기준 설명 위주로 대응 프로세스를 만들고 △어떤 시연화면을 보여줄지 미리 결정하고 그리고 △담당자를 누구로 지정할지가 가장 중요한 포인트다.

한 회장은 14개 인증기준을 어떻게 대응해야 하는지에 대해 자세히 설명했다. 이어 그는 “협회 회원들을 위해 14개 인증항목별로 대응 프로세스를 만들어 놨다. 이를 활용해 각 병원 상황에 맞게 수정해서 사용하면 된다”고 덧붙였다.


EMR 인증 보안성 부문 14개 인증기준은 다음과 같다.

▷계정관리: 책임추적성을 관리할 수 있도록 사용자별로 필요 계정이 발급되어야 한다. 사용자 계정 삭제(사용중지) 시 기록을 유지할 수 있어야 한다.

▷비밀번호 관리: 사용자 비밀번호를 관리할 수 있어야 한다. 사용자 비밀번호 관리는 비밀번호 작성규칙 통제, 비밀번호 일정주기 변경, 비밀번호 초기화 후 강제 변경을 포함한다.

▷권한관리: 직종 및 업무별 권한 부여 기능을 갖추어야 한다. 사용자 변경 또는 퇴직 시 권한을 변경하거나 말소할 수 있어야 한다.

▷권한 이력관리: 사용자 권한 부여 및 회수에 대한 이력을 관리할 수 있어야 한다.

▷로그인 실패 횟수 제한: 로그인 실패 횟수를 제한할 수 있어야 한다.

▷세션 종료: 시스템을 일정 시간동안 사용하지 않을 시 자동으로 세션이 종료되어야 한다. 전자의무기록시스템 사용자가 일정 시간 이상 업무처리를 하지 않아 시스템에 접속이 차단된 이후, 다시 접속하고자 할 때에도 최초의 로그인과 동일한 방법으로 접속해야 한다.

▷감사기록 생성 및 관리: 감사기록을 생성하고 관리할 수 있어야 한다. 사용자 감사기록 관리를 사용자 인터페이스로 구현해 수행하고 있지 않은 경우 데이터베이스에 로그 기록의 저장 여부를 확인하여야 한다. 감사기록은 ①로그인에 관한 기록(성공 및 실패), ②전자의무기록 기록/수정(전자서명 대체 가능), 조회/출력, ③접근불가 환자 조회 시 생성되어야 한다. (시범)전자의무기록시스템 화면을 통해 감사기록을 조회할 수 있다.

▷시간 동기화: 시간 동기화 기능을 갖추어야 한다. 시간 동기화는 의무기록과 전자서명을 생성한 일자 및 시간(시·분·초)이 서버로부터 정확한 시간을 가져와 저장하는지를 확인하는 것을 말한다.

▷고유식별정보 마스킹 표시: 전자의무기록시스템에서 한 화면상에 두 건 이상의 환자 고유식별정보가 목록화되어 보여지는 경우, 이에 대한 선별적 마스킹을 할 수 있어야 한다. 고유식별 정보란 주민등록번호, 외국인등록번호, 운전면허번호, 여권번호 등을 말한다.

▷비밀번호 일방향 암호화 저장: 비밀번호를 일방향 암호화 방식을 사용해 저장할 수 있어야 한다.

▷고유식별정보 암호화 저장: 고유식별정보를 대칭키 암호화 방식을 사용해 저장할 수 있어야 한다. 단 암호화 솔루션 등을 별도의 제품으로 사용하는 전자의무기록시스템의 경우 시스템에서 연계가 가능한 제품을 명시해야 한다.

▷전자서명: 전자서명 기능을 갖추어야 한다. 전자서명한 의무기록은 사용자를 식별할 수 있는 계정, 서명, 서명 일시 등을 포함해야 한다.

▷백업: 백업 기능 구현이 가능한 시스템 구조로 설계되어야 한다. 백업은 전자의무기록시스템의 데이터로 제한하며 이를 위한 시설과 장비를 갖추어야 한다. (시범)매뉴얼을 관리해야 하며 관련 법령 및 시스템의 변화에 따라 갱신할 수 있다. (시범)백업 정책에 따라 월 1회 이상 등 일정한 주기로 백업을 수행할 수 있다.

▷클라우드 서비스 사용 보안인증: 한국인터넷진흥원의 클라우드 보안인증(CSAP) 인증을 받아야 한다. (시범)의료데이터 이외의 데이터와 혼재되지 않도록 별도 분리된 의료 데이터전용의 독립 네트워크를 구성할 수 있다. 단, 클라우드 서비스를 사용하지 않은 외부보관의 경우 보건복지부 고시 ‘전자의무기록의 관리 보존에 필요한 시설과 장비에 관한 기준’에 따라야 한다.

한편 한기태 회장은 “상급병원은 ISMS 인증을 의무적으로 받고 있기 때문에 EMR 인증 보안성 영역에서 11개 항목에 대해 면제를 받을 수 있다. 다만 △고유식별정보 마스킹 표시 △전자서명 △클라우드 서비스 사용 보안인증 항목에 대해서는 ISMS 인증을 받았더라고 인증 준비를 해야 한다”고 설명했다.

끝으로 “EMR 인증은 인증 기준을 명확히 이해하고 인증 기준에 따른 대응 시나리오를 만들어야 한다. 시나리오 대로 담당자를 선정하고 시연화면을 미리 준비해야 한다. 그리고 어떻게 시연할지 사전 테스트도 중요하다”고 조언했다.


[하반기 최대 정보보안&개인정보보호 컨퍼런스 PASCON 2020 개최]

-날짜: 2020년 11월 10일 화요일

-장소: 서울 양재동 더케이호텔서울 2층 가야금홀

-대상: 공공, 금융, 기업 정보보안 및 개인정보보호 실무자

(이외 보안실무와 관련 없는 등록자는 참석이 제한 될 수 있습니다.)

-교육이수: 공무원, 기업 보안의무교육 7시간 인정. CPPG, CISSP 등 교육인정

-전시회: 국내외 최신 보안솔루션 트랜드를 한 눈에

-사전등록: 클릭

-참가기업 모집중: mkgil@dailysecu.com으로 문의

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★