최근 병원정보시스템은 병원 경영을 위한 다양한 서비스, 진료 활성화와 진료의 질 향상을 위하여 대용량의 데이터베이스를 보유하게 되었다. 하지만, 병원정보시스템에 대한 정보보호대책은 미흡한 편이다. 따라서, 병원정보시스템 구축할 때, 정보보호에 대한 대책을 적절하게 마련하여 정보보호 감리를 수행하여야 하며, 위험관리를 통한 정보보호 수준을 유지할 수 있도록 정보보호 관리체계(ISMS)를 수립하고 관리해야 한다. 본 논문에서는 병원정보시스템, 정보보호관리체계, 병원정보 보호 요구사항 및 위협요소를 근거로 병원정보시스템에 적합한 정보보호 감리모형을 제안하였다. 감리모형에서는 의료기관의 특성이 잘 반영되어 있는 ISO27799와 비교하여 점검항목들을 도출하였다. 보안영역은 물리적, 기술적, 관리적 영역으로 분류하고 각각에 세부적으로 정보보호 항목들을 도출하였다. 또한 ISO27799의 위험관리 절차에 따라 점검항목을 매핑함으로써 보안성과 효율성을 동시에 향상시킬 수 있도록 설계하였다. 제안한 감리모형은 IT 전문가들의 5점 척도 설문 조사 결과 평균 4.91점으로 나타나 적합하다는 결론이 도출되었다.
최근 병원정보시스템은 병원 경영을 위한 다양한 서비스, 진료 활성화와 진료의 질 향상을 위하여 대용량의 데이터베이스를 보유하게 되었다. 하지만, 병원정보시스템에 대한 정보보호대책은 미흡한 편이다. 따라서, 병원정보시스템 구축할 때, 정보보호에 대한 대책을 적절하게 마련하여 정보보호 감리를 수행하여야 하며, 위험관리를 통한 정보보호 수준을 유지할 수 있도록 정보보호 관리체계(ISMS)를 수립하고 관리해야 한다. 본 논문에서는 병원정보시스템, 정보보호관리체계, 병원정보 보호 요구사항 및 위협요소를 근거로 병원정보시스템에 적합한 정보보호 감리모형을 제안하였다. 감리모형에서는 의료기관의 특성이 잘 반영되어 있는 ISO27799와 비교하여 점검항목들을 도출하였다. 보안영역은 물리적, 기술적, 관리적 영역으로 분류하고 각각에 세부적으로 정보보호 항목들을 도출하였다. 또한 ISO27799의 위험관리 절차에 따라 점검항목을 매핑함으로써 보안성과 효율성을 동시에 향상시킬 수 있도록 설계하였다. 제안한 감리모형은 IT 전문가들의 5점 척도 설문 조사 결과 평균 4.91점으로 나타나 적합하다는 결론이 도출되었다.
Recently, Hospital information systems have the large databases by wide range offices for hospital management, health care to improve the quality of care. However, hospital information systems for information security measures are insufficient. Therefore, when we construct the hospital information s...
Recently, Hospital information systems have the large databases by wide range offices for hospital management, health care to improve the quality of care. However, hospital information systems for information security measures are insufficient. Therefore, when we construct the hospital information system, we have to audit the information security measures for them, and we have to manage the ISMS(Information Security Management System) to maintain the information protection level through the risk managements. In this paper, we suggested the hospital information security audit model for the protection of health information privacy by the current hospital information systems, information security management system(ISMS), and hospital information security requirements and threats. We derived the check items compared with ISO27799 reflected the characteristics of the hospital. We classified the security domains as the physical, technical, administrative domain, and derived the check items for information security. We also designed the check lists by mapping the ISO27799 risk management process to improve the security and efficiency simultaneously. Our model by the five-point scale survey of IT experts was verified the suitability with the average of 4.91 points.
Recently, Hospital information systems have the large databases by wide range offices for hospital management, health care to improve the quality of care. However, hospital information systems for information security measures are insufficient. Therefore, when we construct the hospital information system, we have to audit the information security measures for them, and we have to manage the ISMS(Information Security Management System) to maintain the information protection level through the risk managements. In this paper, we suggested the hospital information security audit model for the protection of health information privacy by the current hospital information systems, information security management system(ISMS), and hospital information security requirements and threats. We derived the check items compared with ISO27799 reflected the characteristics of the hospital. We classified the security domains as the physical, technical, administrative domain, and derived the check items for information security. We also designed the check lists by mapping the ISO27799 risk management process to improve the security and efficiency simultaneously. Our model by the five-point scale survey of IT experts was verified the suitability with the average of 4.91 points.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
병원정보의 위험요소들을 분석하여 평가하고 위험관리에 대한 대책을 세운다.
본 논문에서는 병원정보시스템의 정보보호 감리를 위한 감리영역, 감리시점, 감리 점검항목 등에 대하여 그 필요성 및 실효성을 검증하기 위하여 감리원 및 의료IT 담당자, 의료IT 종사자를 대상으로 설문하는 방법을 사용하였다. 설문조사의 대상은 [Table 13]과 같이 선정하였으며, 감리원(40%), 의료IT종사자(33.
본 논문에서는 정보보호관리체계(ISMS)를 기준으로 병원관련 인증과 정보보호관리 인증들을 조사 비교 분석 하고 의료정보 보호에 제일 적합한 ISO27799 인증을 제시하고 설명하였다. 또한 병원분야 정보 보호 요구사항을 ISO27799기반의 병원정보시스템 정보보호를 물리적, 기술적, 관리적 영역으로 분류하고 각각에 세부적으로 정보보호 점검항목을 도출하였다.
기존연구[11][12]에서는 주로 단말 등과 같은 물리적 영역과 응용프로그램 및 플랫폼등과 같은 소프트웨어 영역, 네트워크 및 서버영역의 3가지로 나누었다. 본 연구에서는 의료정보 보호 요구사항을 토대로 현행 감리프레임워크에서 보안영역을 별도로 추가하였으며, 보안영역에는 물리적 영역, 기술적 영역, 행정적 영역으로 나누어 제안하고자 한다.
병원의 각 검사실과 각 진료과별로 구축된 네트워크로 검사실에서 자동으로 실험실 검사 결과들이 환자 등록 시스템에 검사 항목으로 입력되고, 그 결과에 대하여 담당 의사가 단말기에서 볼 수 있다. 이들 각 검사실에서 단말기를 통해서 환자의 기록을 열람하고, 진단에 필요한 자료를 검토한다[7].
이에 본 연구에서는 ISMS 기준을 만족하고 의료기관의 특성을 반영하는 병원정보시스템의 정보보호 감리모형을 제시하고자 한다. 병원정보시스템 정보보호에 적합한 정보보호 감리모형을 도출하기 위하여 병원정보시스템, KISA-ISMS[3], ISO27799[4], 병원정보 보호 요구사항 및 위협요소를 조사·분석하고, 이를 근거로 병원정보 시스템의 효율적인 정보보호를 위한 감리모형을 제시하고자 한다.
제안 방법
또한 운영 및 유지보수는 ISMS 모니터링 및 검토단계인 CHECK단계와 ISMS 유지 및 개선 단계인 ACT단계에서 이루어진다. ISO 27799의 PDCA 사이클과 병원정보관리시스템의 정보보호 단계를 비교하여 제시하였다.
본 논문에서는 ISO27799기반의 병원정보시스템 정보 보호 감리 모형을 현행 정보시스템 감리 프레임워크 모델[3]을 참고 하였다. ISO27799과 ISMS의 위험관리 절차 및 통제분야와 정보보호 감리 시점 및 점검항목을 비교 매핑함으로써 병원정보시스템 정보 보호 감리 모형을 제시하였다.
[Fig. 4]는 현행 정보시스템감리 프레임워크를 참고하여 사업유형/감리시점, 감리영역, 감리관점/점검기준을 적용하였으며, 3.2 감리영역에서 제안한 모델을 현행 정보시스템 감리 프레임워크에 적용하였다.
감리영역은 위에서 제시한 의료분야 정보보호 요구사항을 토대로 영역을 구분하였다. 기존 연구의 정보보호 영역과 비교 제시하였다.
감리점검항목에 대한 설문은 제안한 보안 통제사항 선택 및 구현 단계의 점검항목 중에서 병원정보에 관한 중요한 항목을 선정하여 나열하고 각 항목마다 매우필요(5점), 필요(4점), 보통(3점), 필요없다(2점), 전혀 필요없다(1점)으로 표기하는 5점 척도를 적용하여 검증하였다.
감리영역은 위에서 제시한 의료분야 정보보호 요구사항을 토대로 영역을 구분하였다. 기존 연구의 정보보호 영역과 비교 제시하였다.
또한 병원분야 정보 보호 요구사항을 ISO27799기반의 병원정보시스템 정보보호를 물리적, 기술적, 관리적 영역으로 분류하고 각각에 세부적으로 정보보호 점검항목을 도출하였다. 또한 ISO27799의 위험 관리 절차에 맟추어 정보보호 감리시점을 수립하고 점검 항목과 ISO27799 통제분야를 매핑함으로써 보안성과 효율성을 동시에 향상시킬 수 있도록 설계하였으며, 전문가의 설문을 통하여 적합성을 검증하였다.
병원정보시스템의 정보보호와 관련하여 조사하고, 병원정보시스템의 정보보호감리 프레임워크를 도출하고 감리모형을 물리적, 기술적, 관리적 영역으로 분류하여 세부적인 정보보호 항목들을 도출하였다. 또한 ISO27799의 위험관리 절차에 따라 점검항목을 매핑하여 보안성과 효율성을 동시에 향상시킬 수 있도록 설계하였다. 제안한 정보보호 감리 모형은 전문가의 설문 조사를 통해 적합성을 검증하였다.
본 논문에서는 정보보호관리체계(ISMS)를 기준으로 병원관련 인증과 정보보호관리 인증들을 조사 비교 분석 하고 의료정보 보호에 제일 적합한 ISO27799 인증을 제시하고 설명하였다. 또한 병원분야 정보 보호 요구사항을 ISO27799기반의 병원정보시스템 정보보호를 물리적, 기술적, 관리적 영역으로 분류하고 각각에 세부적으로 정보보호 점검항목을 도출하였다. 또한 ISO27799의 위험 관리 절차에 맟추어 정보보호 감리시점을 수립하고 점검 항목과 ISO27799 통제분야를 매핑함으로써 보안성과 효율성을 동시에 향상시킬 수 있도록 설계하였으며, 전문가의 설문을 통하여 적합성을 검증하였다.
관리적 영역은 상시 근무인원이 5인 이상인 의료기관에서 내부관리 계획, 진료정보의 열람이나 제공에 관한 내용 확인과 진료, 영상, 간호 기록업무를 총괄하는 책임자를 지정했는지를 점검항목으로 도출하였다. 또한, 진료 정보를 진료목적 외의 다른 용도로 이용할 경우 별도의 동의 여부와 진료정보를 의료법에서 정한 보존기간 동안 보유 여부를 관리적 영역으로 도출하였다.
ISO 27799:2008, KISA-ISMS 등 정보보호관리체계의 관리과정은 순환주기를 갖고 있다. 병원 환경의 위험관리 절차에 따라 정보보호 감리시점을 도출하였다.
기업이나 기관은 정보자산의 무결성, 비밀성, 가용성을 실현하기 위한 절차와 과정을 체계적으로 수립, 문서화하고 지속적으로 관리, 운영하기 위하여 정보보호관리 체계(ISMS)를 수립하여 관리한다. 병원정보시스템 정보 보호 관리체계를 위하여 KISA-ISMS[3]과 ISO27799[4]의 정보관리체계의 관리과정을 비교하였다.
병원정보시스템 정보보호에 적합한 정보보호 감리모형을 도출하기 위하여 병원정보시스템, KISA-ISMS[3], ISO27799[4], 병원정보 보호 요구사항 및 위협요소를 조사·분석하고, 이를 근거로 병원정보 시스템의 효율적인 정보보호를 위한 감리모형을 제시하고자 한다.
병원정보시스템 정보보호에 적합한 정보보호 감리모형을 도출하기 위하여 병원정보시스템, KISA-ISMS[3], ISO27799[4], 병원정보 보호 요구사항 및 위협요소를 조사·분석하고, 이를 근거로 병원정보 시스템의 효율적인 정보보호를 위한 감리모형을 제시하고자 한다. 병원정보시스템의 정보보호와 관련하여 조사하고, 병원정보시스템의 정보보호감리 프레임워크를 도출하고 감리모형을 물리적, 기술적, 관리적 영역으로 분류하여 세부적인 정보보호 항목들을 도출하였다. 또한 ISO27799의 위험관리 절차에 따라 점검항목을 매핑하여 보안성과 효율성을 동시에 향상시킬 수 있도록 설계하였다.
KISA-ISMS은 ISO2779와 달리 위험관리가 관리과정으로 명시되어 있다. 위험관리 안에는 위험관리전략 및 계획수립, 위험분석, 위험평가, 정보보호대책 선택, 정보 보호 계획수립의 단계가 포함되어 병원관리시스템의 위험관리 및 평가계획과 보안 통제사항 선택 및 계획 단계로 도출하였다.
또한 ISO27799의 위험관리 절차에 따라 점검항목을 매핑하여 보안성과 효율성을 동시에 향상시킬 수 있도록 설계하였다. 제안한 정보보호 감리 모형은 전문가의 설문 조사를 통해 적합성을 검증하였다.
현행 정보시스템 감리프레임워크의 사업유형 및 감리 시점과 병원정보시스템 정보보호 감리시점을 매핑하고 KISA-ISMS[3]의 위험관리과정을 참고하여 병원정보시스템 정보보호 감리시점을 구성하였다.
대상 데이터
본 논문에서는 병원정보시스템의 정보보호 감리를 위한 감리영역, 감리시점, 감리 점검항목 등에 대하여 그 필요성 및 실효성을 검증하기 위하여 감리원 및 의료IT 담당자, 의료IT 종사자를 대상으로 설문하는 방법을 사용하였다. 설문조사의 대상은 [Table 13]과 같이 선정하였으며, 감리원(40%), 의료IT종사자(33.3%), 의료IT담당 자(26.7%)로 구성되어 있다.
이론/모형
병원정보시스템의 정보보호 구현을 위한 감리 점검 항목을 도출하는데 있어서 ISO27799을 참고하여 위험관리 절차에 따라 보안 통제사항 선택 및 구현 단계의 점검 항목을 도출하였다. 위험을 수용 가능한 수준으로 통제하기 위한 항목들을 선택하여 구현한다.
본 논문에서는 ISO27799기반의 병원정보시스템 정보 보호 감리 모형을 현행 정보시스템 감리 프레임워크 모델[3]을 참고 하였다. ISO27799과 ISMS의 위험관리 절차 및 통제분야와 정보보호 감리 시점 및 점검항목을 비교 매핑함으로써 병원정보시스템 정보 보호 감리 모형을 제시하였다.
성능/효과
76점 이상으로 점검항목이 매우 필요하다고 응답하였으며 기술적 영역이 전체 평균점에서 가장 높은 점수를 보였다. 3가지 영역의 전체 평균은 4.91로 제안한 정보보호 감리 프레임워크의 점검항목들의 도출이 적적함을 보였다.
관리적 영역에서 점검항목에 대한 설문 결과는 진료, 영상, 간호 기록업무를 총괄하는 책임자 지정과 진료정보를 진료목적 외의 다른 용도로 이용할 경우 별도의 동의 여부에서 평균 5.0으로 나타났으며, 모든 점검항목의 평균이 4.76에서 5.0 으로 설문 의견을 나타내어 모든 영역에서 매우필요 항목의 응답률이 95%로 점검항목의 도출이 적정함을 보였다.
기술적 영역에서 점검항목에 대한 설문 결과는 도출된 8개 점검항목 중에서 권한이 없는 환자 접근시 사유 관리 정책, 특정 환자 기록의 정보보호 대책, 모든 환자 데이터 암호화 정책과 OCS, EMR, PACS 백업에 대한 대책에서 4개 점검항목이 공히 평균 5.0으로 매우 필요한 것으로 나타났으며, 모든 영역에서 매우필요 항목의 응답률이 97%로 점검항목의 도출이 적정함을 보여주고 있다.
기술적 영역에서는 권한이 없는 환자 접근시 사유 관리, 특정 환자 기록의 정보보호, 병원 프로그램에 대한 악성코드 대책과 의료접근통제를 위한 요구사항이 적정하게 선택되고 구현되었는가를 점검항목으로 도출하였다. 또한, 의료접근통제를 위한 대책과 모든 환자 데이터를 암호화하여 관리하는지, EMR, OCS, PACS 백업에 대한 대책, 병원정보시스템 감사 고려사항, 의료 정보 교환의 대책이 적정하게 선택 되고 구현되었는가를 도출하였다.
둘째, 정보보호 감리를 수행하기 위한 감리원의 수준이 미흡하다. 정보보호에 대한 중요성을 인식하기 시작한 시기는 불과 몇 년 되지 않았으며, 정보보호 기술이 급속히 발전하고 있으나, 정보보호 분야에 대한 연구가 부족하고 관련된 지침이 정비되지 않아 감리원의 보안 분야에 대한 수준이 미흡한 상황이다.
기술적 영역에서는 권한이 없는 환자 접근시 사유 관리, 특정 환자 기록의 정보보호, 병원 프로그램에 대한 악성코드 대책과 의료접근통제를 위한 요구사항이 적정하게 선택되고 구현되었는가를 점검항목으로 도출하였다. 또한, 의료접근통제를 위한 대책과 모든 환자 데이터를 암호화하여 관리하는지, EMR, OCS, PACS 백업에 대한 대책, 병원정보시스템 감사 고려사항, 의료 정보 교환의 대책이 적정하게 선택 되고 구현되었는가를 도출하였다.
물리적 영역에서 점검항목에 대한 설문 결과는 진료 정보의 원격접속에 대한 이력관리 대책이 적정하게 선택되고 구현되었는가는 평균 5.0으로 나타났으며, OCS, EMR, PACS등의 정보의 암호화 정책에서는 4.8 나타났으며, 모든 점검항목의 평균이 4.8 에서 5.0 으로 설문 의견을 나타내었다.
병원정보시스템 정보보호 감리 점검항목의 3가지 영역에서의 18개 점검항목에 대한 5점 척도 설문 결과 평균 4.76점 이상으로 점검항목이 매우 필요하다고 응답하였으며 기술적 영역이 전체 평균점에서 가장 높은 점수를 보였다. 3가지 영역의 전체 평균은 4.
셋째, 정보보호 감리를 위한 여건이 아직 성숙되어 있지 않다. 시스템아키텍처와 보안을 분리하여 보안 부분에 별도의 정보보안 전문 감리원을 투입하려고 해도 관련 감리를 위한 예산 배정에 한계가 있어, 현실적으로 개선이 곤란한 것이 사실이며 예산 책정의 특성상 대응책 마련이 용이하지 않은 실정이다[10].
후속연구
끝으로 본 연구는 실제 병원정보시스템 구축 및 운영 사업에 적용하여 효과성을 검증하지 못한 한계를 가지고 있다. 그러나, 실제적인 병원정보시스템 정보보호 감리에 적용해 나가면서 수정, 보완하면 실무적으로 병원정보시스템의 정보보호 감리모형으로 기여할 것으로 판단되며, 제안한 감리모형으로 자리 잡을 수 있도록 향후 추가적인 연구가 필요하다.
끝으로 본 연구는 실제 병원정보시스템 구축 및 운영 사업에 적용하여 효과성을 검증하지 못한 한계를 가지고 있다. 그러나, 실제적인 병원정보시스템 정보보호 감리에 적용해 나가면서 수정, 보완하면 실무적으로 병원정보시스템의 정보보호 감리모형으로 기여할 것으로 판단되며, 제안한 감리모형으로 자리 잡을 수 있도록 향후 추가적인 연구가 필요하다.
둘째, ISO27799가 국제 표준이다 보니 국내 의료기관과 다른 부분이 존재할 수 있고, 모든 의료기관의 의료정보화 수준이 동일하지 않다는 부분도 감안되어야 할 것이다.
첫째, 향후 연구에서는 의료정보의 요구사항 및 위협 요소 대책에 대해 ISO27799가 얼마나 잘 반영되어 있는지 정확한 검증이 필요하다.
질의응답
핵심어
질문
논문에서 추출한 답변
의료정보시스템은 어떻게 구분되는가?
의료정보시스템은 크게 병원정보시스템, 지역의료정보시스템, 의료정보서비스로 구분되며, 이중 병원정보시스템은 병원의 여러 업무를 수행하는데 필요한 정보를 적시에 적절하게 제공하는 시스템으로 여러 형태의 기능을 수행하는 단위 시스템들의 복합체이다. 병원정보시스템은 의료기관을 운영·분석하고 의료의 질을 향상시키는데 중추적인 역할을 한다[5].
병원정보시스템은 어떤 점에서 중요한 의미를 지니는가?
병원에서 발생하는 정보는 의료인이 환자를 다루는 의료과정과 병원의 경영관리활동의 환경을 중심으로 발생하고 있다. 병원정보시스템은 타 조직체와는 다르게 전문 직종 간에 생성 교환되는 정보의 양이 방대하고 정보의 신속, 정확성과 장기적 보관을 필요로 한다는 점에서 정보의 흐름은 매우 중요한 의미를 지니고 있다. 병원 정보시스템을 알아보기 위해 관련 자료를 살펴보면 의료 정보시스템의 개념과 혼용되어 사용되거나, 협의의 의료 정보시스템으로서 인식된 것을 알 수 있다[2].
병원정보시스템은 주로 어떻게 구성되어 있는가?
병원 정보시스템은 영상 데이터를 저장, 관리, 전송하여 관리하는 의료영상저장 전송시스템인 PACS(Picture Archiving and Communication System), 환자의 처방 전달 및 진료내역을 관리하는 처방전달시스템인 OCS(Order Communication System), 환자의 전자의무기록을 수기에서 전자문서로 기록하고 보존하는 전자의무기록시스템인 EMR(Electronic Medical Record)로 주로 구성되어 있다. PACS, EMR, OCS가 효율적으로 연동되기 위한 병원정보시스템 구축을 위한 감리모형[2]에 대한 연구는 되어 있으나, 병원정보시스템에서의 정보보호를 위한 감리 모형에 대한 연구가 필요한 시점이다.
참고문헌 (13)
Dae-Won Moon, Si-Young Jang, Information System Managements-Business Managements, System Development and Audit Practices, Seoul: Myungkungsa, 1998.
B. C. Mun, D. S. Kim, H. W. Kim, The Audit Model for efficient Hospital Information System Construction, Korea Society of IT Services, Vol. 11, No. 2, pp.197-211, 2012.
Korea National Information Society Agency, Information System Audit Guideline Manual V3.0, Korea National Information Society Agency, 2008.
ISO/IEC 27799, Health informatics - Information security management in health using ISO/IEC 27002, ISO, 2008.
Sung-Hyun Park, The Suggestion of the Medical ISMS for the Small and Medium Hospitals and the Study on the Consulting Method Regarding to the Technical Protection, Master of Engineering dissertation, Graduate School of International Information of Dongguk University, 2013.
Hye-Jung Kim, A Study on Indicator Development to Evaluate Hospital Information System : based on Balanced Scorecard Method, Master of Public Health dissertation, Graduate School of Public Health of Yonsei University, 2006.
Hyung-Goo Kang, A Study on the Personal Health Information Security in Hospitals, Master of Engineering dissertation,, Graduate School of Information Communication of Konkuk University, 2012.
Hyung-Ae Kim, Nursing Information System Development for Improving Nursing Work, Master of Nursing dissertation, Graduate School of Chungang University, 2004.
Ki-Ho Yeo, A study of ISMS application in health organization using ISO 27799, Master of Engineering dissertation,, Graduate School of Information Communication of Konkuk University, 2012.
J. Y. Lee, D. S. Kim, H. W. Kim, A Design on the Inforamtion Security Auditing Framework of the Information System Audit, Korea Society of Digital Industry and Information Management, Vol. 6, No. 2, pp.233-245, 2010.
H. S. Hwang, G. H. Lee, A Study on the Mobile Security for Secure Smartwork Improvements, Korea Institute of Information Security and Cryptology, Vol. 21, No. 3, pp.22-34, 2011.
H. C. Lee, J. H. Yi, K. W. Sohn, Smartwork Security Threats and Measures, Review of Korea Institute of Information Security and Cryptology, Vol. 21, No. 3, pp.12-21, 2011.
Hojun Jegal, Juhyung Lee and Taekgu Kim., Scaling software agility : best practices for large enterprises., Euiwang.: Euiwang Publishing Inc, 2008.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.