삼성서울병원 8일 ISO 27001 인증
의료정보시스템·전자차트 등 환자정보보호 공인
삼성서울병원이 8일 영국표준협회(BSI)로부터 환자정보보호관리시스템에 대한 국제표준인 'ISO 27001 인증'을 획득했다.
ISO 27001은 국제표준화기구(ISO)에서 제정한 정보보호관리체계(ISMS) 국제표준으로, 정보 보호정책·인적 물리적 보안 등 11개 보안 영역별로 133개 항목을 심사하고 있다. 국내 병원이 ISO 27001을 받은 것은 삼성서울병원이 처음이다.
삼성서울병원은 의료정보시스템(SMIS)·전자차트(EMR) 등 병원내 전자정보 활용도가 증가함에 따라 환자들의 진료정보를 보호하기 위해 보안을 강화해 왔다. 삼성서울병원은 원내 모든 PC에 마이크로소프트 AD SMS를 설치, 백신(V3)과 윈도우보안패치를 매일 1회 이상 실시하고 있으며, 데이터베이스 접근을 효과적으로 관리하고 미인증 접근자를 차단, 대량 정보 유출을 방지하기 위해 '미들만 솔루션'을 도입했다. 아울러 홈페이지에 대한 모의 해킹을 통해 취약점을 강화하는 '파스칼' 서비스·홈페이지 침입 탐지(IDS)서비스·메일 발신 로깅 서비스 등을 도입했으며, IT보안 전문회사인 삼성네트웍스의 병원 내부망 및 사이버망에 대한 24시간 보안관제서비스를 통해 실시간으로 위험요소를 탐지, 차단하고 있다.
삼성서울병원은 보안 인프라를 강화하고, 삼성네트웍스 보안 컨설팅을 통해 병원정보 보호 정책과 규정 등 정보 보호 관리체계를 국제표준에 맞게 운영, ISO 27001 인증을 획득할 수 있었다고 설명했다. 삼성서울병원 전산실을 운영하는 삼성SDS는 이미 ISO 27001 인증을 획득했다.
이번 ISO 27001 인증을 준비한 권오정 삼성서울병원 기획실장(호흡기내과)는 "ISO 27001 인증 획득은 삼성서울병원의 정보 보호 관리체계가 국제적 수준임을 인증받은 것"이라며 "ISO 인증은 완료형이 아닌 진행형 인증이므로 앞으로도 인증을 유지하기 위해 NAC(Network Access Control)를 도입하는 등 지속적으로 환자 정보보호를 위해 노력하겠다"고 밝혔다.
