이 자리에서 한기태 대한병원정보협회 회장(건국대학교 병원 정보보안 팀장)은 ‘의료기관의 인증제도에 포함된 보안인증 항목 소개 및 설명’을 주제로 키노트 발표를 진행했다.
이번 강연에서는 전자의무기록시스템 인증제도에 대한 소개와 인증 심사 기준, 전자의무기록 인증 보안성 영역 등에 대한 설명이 이어져 의료기관 참관객들의 큰 관심을 끌었다.
한기태 회장은 “인증제도의 목적은 자발적인 의료 질 향상 및 개선 활동 등 선순환 시스템을 구축하기 위해서다. 이를 통해 국가 전반의 의료 질 개선 및 개선을 평가할 수 있는 실증적 근거자료를 마련하고 의료기관은 표준을 준수하는 정보교류를 통해 진료환경 개선 및 질 높은 건강서비스 제공을 보장할 수 있다. 또 표준화된 전자의무기록시스템의 활용으로 환자정보를 안전하고 체계적으로 관리할 수 있다”고 설명했다.
인증제도의 법적 근거는 의료법에 전자의무기록의 표준화, 전자의무기록시스템의 인증, 전자의무기록시스템의 인증표시 등에 대한 법령에 근거하고 있다.
보건복지부가 인증제도 및 정책관리, 사업관리, 인증승인을 담당하고 인증기관에 인증업무 위탁을 준다. 인증기관은 인증기준 관리, 가이드라인 개발 배포, 심사원 양성 및 자격관리, 심사업무를 담당한다. 의료기관이 인증심사신청을 하면 심사기관과 인증심의위원회에서 인증 절차를 거쳐 인증심사 결과를 통보한다.
인증기준은 △기능성, △상호운용성, △보안성 등 3가지로 나눌 수 있다. 기능성은 진료정보를 생성하고 관리하기 위해 전자의무기록시스템이 갖춰야 할 성능을 말하며 상호운용성은 두개 이상의 전자의무기록시스템 혹은 전자의무기록시스템 컴포넌트 간에 정보를 교환하고 교환한 정보를 활용하는 성능을 말한다.
마지막으로 보안성은 전자의무기록시스템 자체적인 관리적, 물리적, 기술적 보안 및 개인정보보호 성능을 말한다. 전자의무기록의 관리, 보존에 필요한 시설과 장비에 관한 기준, 개인정보의 안정성 확보조치 기준 등 법제도를 준용해 인증기준이 마련됐다.
전자의무기록시스템 인증 기준은 총 97개 항목이다. 기능성이 74개로 가장 많고 보안성이 13개, 상호운용성이 10개다. 이중 보안성 13개를 분류하자면, 백업, 감사, 기밀성, 암호화, 식별 및 인증, 권한 및 접근통제 등이 포함된다.
인증심사주기는 전자의무기록시스템을 인증 받은 날부터 3년, 갱신 기준은 3년 유효기간 만기도래 시 그리고 인증갱신은 획득한 인증기준을 유지하고 인증기간의 유효기간 만기도래 시 신규 인증 신청 후 재갱신, 인증획득 후에 인증기준이 변경되거나 추가되는 경우, 유효기간이 끝나는 시점에 인증획득이 가능하다.
◇전자의무기록시스템 인증심사원에 대해
한편 전자의무기록시스템 인증심사원 자격 신청요건은 현재 4년제 대학교 졸업 이상 또는 이와 동등학력 취득자로서 보건의료 분야 근무 경력이 10년 이상이고 그 중 보건의료정보 관련 분야 경력이 5년 이상인 자가 해당된다.
선임심사원은 심사원 자격 취득자로서 전자의무기록시스템 인증심사에 3회 이상 참여하고 심사일수 합이 15일 이상인자에 해당된다. 심사원은 심사원보 자격 취득자로서 전자의무기록시스템 인증심사에 4회 이상 참여하고 심사일수 합이 20일 이상인자가 해당된다. 심사원보는 전자의무기록시스템 인증 심사원 양성과정을 통과해 자격을 취득한 자가 해당된다.
심사원 자격취득 절차는 인증심사원보 충족을 위한 학력, 경력, 자격요건을 충족하는 자로 증빙서류 검토후 교육대상자를 선별하고 이후 인증심사원 양성교육 및 실습평가를 총 5일간 35시간 교육을 실시한다. 이후 교육수료자에 한 해 수료증이 발급된다.
◇전자의무기록 인증영역 중 보안성 영역 기준
한편 인증영역에서 보안성 영역 기준 13가지는 △백업 및 복구 △감사 기록 및 관리 △시간 동기화 △개인정보 마스킹 △개인정보 암호화 알고리즘을 사용한 데이터 저장 △사용자 계정관리 △사용자 비밀번호 관리 △사용자 비밀번호 일방향 암호화 저장 △잘못된 접근 시도 제한 △세션 종료 △전자서명 △사용자 권한 부여 △사용자 권한 부여 내역 관리 등이다.
이중 한기태 회장은 암호화와 관련 “개인정보 저장 시 안전한 암호화 알고리즘을 사용해야 하고 암호화 솔루션 등을 별도의 제품으로 사용하는 밴더사의 경우 시스템에서 연계가 가능한 제품을 명시해야 한다. 그리고 사용자 비밀번호도 일방향 암호화 저장 기능을 갖춰야 한다. 심사시 함수, 시스템 화면 또는 데이터베이스, 문서 등의 증빙을 통해 비밀번호를 암호화한 일방향 알고리즘 종류를 확인한다”고 설명했다.
◇MPIS 2019, 300여 명 의료기관 보안실무자 참석…성황리 개최
주요 발표내용은 다음과 같다.
△의료기관의 인증제도에 포함된 보안인증 항목 소개 및 설명
-대한병원정보협회 한기태 회장-(건국대학교병원 의료정보팀장)
△Plan부터 Act까지, 혼자서 하는 ISO 27001 인증
-분당서울대병원 황연수 정보보호파트장-
△엔드포인트 행위의 연계 분석을 통한 악성코드 대응
-안랩 명재열 부장-
△의료 분야에서 지속될 랜섬웨어 및 SaaS 문제
(데이터센터부터 클라우드까지 차세대 방화벽으로 보호하라)
-팔로알토 네트웍스 신봉현 차장-
△외주인력보안! 일일보안점검으로 극대화!
-좋을 안병현 연구소장-
△새롭게 재편되는 보안 솔루션과 그 사각지대
-위드네트웍스 박동준 차장-
△디지털 시대, 의료기관의 차세대 보안 전략
-한국IBM 조가원 실장-
△의료 ISAC 적용사례 소개 및 개선과제
-연세의료원 김진응 보안기획파트장-
△의료기관 개인정보보호 자율점검
-병원정보보안협의회 경우호 회장-(서울아산병원 의료정보실 정보보호UM)
△감성으로 보안을 말하다
-티몬 이은경 팀장-
또한 전시부스에는 △IBM △넷아이디 △안랩 △위드네트웍스 △좋을 △케이엘테크놀로지 △코오롱베니트(팔로알토네트웍스) 등이 참가해 참관객들에게 의료기관에 필요한 최신 정보보안 솔루션을 소개하는 시간을 가졌다.
★정보보안 대표 미디어 데일리시큐!★