한국인터넷진흥원, 정보 보호 관리체계 보호 기준 104개 평가
상급병원 43곳 중 9곳 인증...수수료 감면·컨설팅 비용 지원해야
가톨릭대학교 서울성모병원이 최근 한국인터넷진흥원(KISA)이 실시한 인증심사를 통해 정보보호 관리체계(ISMS) 인증을 획득했다.
한국인터넷진흥원이 주관하고 있는 정보보호 관리체계(Information Security Management System, ISMS) 인증은 전자의무기록(EMR)·처방전달시스템(OCS)·홈페이지 운영 등 병원정보시스템 전반을 평가, 안전성을 평가하는 제도.
지난해 6월 2일 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 및 시행규칙 개정안에 따라 연간 매출액 또는 세입이 1500억 원 이상인 상급종합병원 43곳과 재학생수 1만 명 이상인 37곳 대학교가 의무적으로 ISMS 인증을 받아야 하는 기관에 포함됐다. 미인증 기관은 3000만 원의 과태료 처분을 받을 수 있다.
순천향대 부천병원이 지난해 10월 상급종합병원으로는 처음 ISMS 인증을 받았으며, 서울아산병원·강북삼성병원·삼성서울병원·순천향대 천안병원·울산대병원·조선대병원·전북대병원·가톨릭대 서울성모병원이 잇따라 인증을 받았다.
서울성모병원은 총 104개의 정보 보호 관리 기준을 평가받기 위해 6개월의 준비와 운영 기간을 거쳐 민감 정보 관리 체계를 구축했다.
인증 기간은 오는 2020년 6월 15일까지 3년.
ISMS 인증을 받았다고 끝나는 게 아니다. 매년 사후 심사를 통해 정보보호 관리체계의 운영현황을 검증 받아야 하며, 유효기간(3년)이 끝나면 다시 갱신 심사를 통해 병원 정보 보호 관리체계를 평가받아야 한다.
서울성모병원은 "이번 인증 획득은 병원의 중요한 정보를 안전하게 보관하기 위한 전 교직원의 노력과 기관의 의지가 반영된 결과"라면서 "향후 중장기 계획에 따라 정보 보호 관리체계를 지속적으로 업그레이드해 서울성모병원뿐만 아니라 가톨릭중앙의료원 산하 의료기관의 정보보호 수준을 높여나가겠다"고 밝혔다.
승기배 병원장은 "이번 인증을 통해 교직원들의 정보 보호 의식을 한 단계 높이는 계기가 됐다"면서 "환자의 생명과 관련된 민감 정보를 다루는 기관이니만큼, 더욱 더 철저히 정보보호 관리에 만전을 다하겠다"고 말했다.
정보보호관리체계(ISMS) 인증제도는 기업이 보유한 정보 자산을 안전하게 보호하기 위해 정보 보호 관리 절차 및 대책을 체계적으로 수립하고, 지속적으로 운영·관리하고 있는지를 인증기관을 통해 종합적으로 평가하는 제도.
ISMS 인증 의무 대상인 상급종합병원은 △가톨릭대학교 서울성모병원 △가톨릭대학교 인천성모병원 △건국대학교병원 △경북대학교병원 △경상대학교병원 △경희대의과대학 부속병원 △계명대학교 동산병원 △고려대의과대학 부속 구로병원 △고려대의과대학 부속병원 △고려대의과대학 부속 안산병원 △고신대학교 복음병원 △단국대의과대학 부속병원 △대구가톨릭대학교병원 △동아대학교병원 △부산대학교병원 △분당서울대학교병원 △삼성생명공익재단 삼성서울병원 △삼성의료재단 강북삼성병원 △서울대학교병원 △서울아산병원 △아주대학교병원 △양산부산대학교병원 △연세대학교원주의과대학 원주기독병원 △연세대학교의과대학 강남세브란스병원 △연세대학교의과대학 세브란스병원 △영남대학교병원 △울산대학교병원 △원광대학교 부속병원 △의료법인길의료재단 길병원 △이화여대부속 목동병원 △인제대학교부속 부산백병원 △인하대학교의과대학 부속병원 △전남대학교병원 △전북대학교병원 △중앙대학교병원 △충남대학교병원 △학교법인 동은학원 순천향대학교부속 부천병원 △학교법인 동은학원 순천향대학교부속 천안병원 △한림대학교 성심병원 △한양대학교병원 △화순전남대학교병원 △조선대학교병원 △충북대학교병원 등이다.
보안업계 관계자는 "ISMS 인증을 위해서는 시스템 도입으로 1억 원과 시스템 컨설팅 비용으로 1억 원 등 총 2억 원이 필요하다"며 "인증 수수료를 감면하고, 시스템 도입 컨설팅 비용도 지원할 필요가 있다"고 지적했다.