선택한 단어 수는 입니다.
최소 단어 이상 선택하여야 합니다.
최소 단어 이상 선택하여야 합니다.
선택한 단어 수는 30입니다.
최대 10 단어까지만 선택 가능합니다.
최대 10 단어까지만 선택 가능합니다.
문제 정의
- 상급 종합병원의 경우, ISMS 인증 의무화를 시작으로 보안에 대한 중요성을 인식하고 있으나, 중소형 의료기관은 인적 경제적 부담으로 보안에 대한 중요성은 인식하나 수행에 옮기지 못하고있는 한계점이 존재한다. 따라서 본 논문에서는 선행연구 분석을 통해 의료기관 보안 특성을 도출하고 중소형 의료기관의 현장조사를 통해 중소형 의료기관 보안 특성과 현황을 조사하였다. 이러한 중소형 의료기관 보안 특성을 기반으로 중소형 의료기관을 위한 보안관리 평가모형을 설계하고 검증하였다.
- 따라서 본 논문에서는 중소형 의료기관을 위한 보안관리 평가모형을 설계하고자 한다. 보안관리 평가모형 설계를 위해 문헌분석을 통하여 의료기관이 가지고있는 비즈니스 요소와 보안 특화 요소를 도출하고 의료분야 관련 관리체계, 평가, 인증 체계 내용을 비교분석하고 통계적 검증을 통해 보안관리 모형을 구축한다.
- 본 논문에서는 아래 [Figure 2]와 같이, 선행연구를 통해 분석한 의료기관의 비즈니스 특성과 의료기관 특화 보안요소를 반영하고 중소형 의료기관을 대상으로 한 보안 수준 설문 내용을 반영하여 중소형 의료기관의 보안 특성을 도출하고자 한다.
- 본 연구에서는 앞서 분석한 의료기관 보안 특성 선행연구와 중소형 의료기관 현황 및 실정 분석 내용을 기반으로 중소형 의료기관을 위한 보안관리 평가모형의 세부항목을 도출하였다. 도출한 세부항목과 기존 범용 보안관리 체계(ISO 27001: 2013 & 27002: 2013[5])와 의료기관용 보안관리체계 ISO 27799: 2016[4]을 포함하여 국내외 의료기관을 대상으로 하는 보안 점검 지표 비교분석을 수행하였다.
- 보안관리 평가모형 설계를 위해 문헌분석을 통하여 의료기관이 가지고있는 비즈니스 요소와 보안 특화 요소를 도출하고 의료분야 관련 관리체계, 평가, 인증 체계 내용을 비교분석하고 통계적 검증을 통해 보안관리 모형을 구축한다. 추후 AHP 분석을 통하여 각 항목별 우선순위 (가중치)를 도출하는 것을 목표로 한다.
제안 방법
- 각 기준들의 상대적 우선순위를 산정하기 위한 AHP 분석은 10년 이상의 경력이 있는 의료기관 실무자 또는 의료기관의 ICT 아웃소싱을 수행하는 의료보안 담당자를 대상으로 설문을 수행하였으며, 중소형 의료기관 환경을 충분히 이해할 수 있는 역량을 보유한 대상을 선별하여 설문 대상의 높은 질적 수준을 확보하였다. 10명을 대상으로 AHP 설문을 진행하였으며, 10점 척도를 사용하여 설문을 수행하였고, Consistency Index도 산정했다.
- ISO 27799[4]의 Annex-A와, Nicole van Deursen[17]의 연구를 기반으로 의료기관에서 빈번히 발생하는 보안특성을 도출하였다.
- 각 기준들의 상대적 우선순위를 산정하기 위한 AHP 분석은 10년 이상의 경력이 있는 의료기관 실무자 또는 의료기관의 ICT 아웃소싱을 수행하는 의료보안 담당자를 대상으로 설문을 수행하였으며, 중소형 의료기관 환경을 충분히 이해할 수 있는 역량을 보유한 대상을 선별하여 설문 대상의 높은 질적 수준을 확보하였다. 10명을 대상으로 AHP 설문을 진행하였으며, 10점 척도를 사용하여 설문을 수행하였고, Consistency Index도 산정했다.
- 각 자료의 통제항목 혹은 평가 지표 세부내용을 기반으로 매핑을 통해 분석을 수행하였다. 매핑 방법은 각 지표에서 보유하고있는 가장 낮은 레벨인 세부내용을 기반으로 유사하거나 동일한 내용끼리 맵핑하는 과정을 거쳐서 수행하였으며, 중소형 의료기관의 특성이 반영된 보안관리 모델을 구축하기 위해 의료보안 관련 국내외 관련 문헌(ISO/IEEE 27001 : 2013, ISO/ IEEE 27799 : 2016[4], KISA-ISMS[7], NIST Special Publication 800-66, Joint Commission International Accreditation Standards for Hospitals(JCI 인증), Hospital Accreditation Standards by Functional Category Hospital Type 1 (JCQHC 인증), Quality and Outcomes Framework guidance for GMS contract 2013/14, NHS Commissioning Board, 개인정보보호 자율점검 표(대한병원협회), 의료기관을 위한 정보보호안내서(병원편) (보건복지부), 개인정보보호 가이드라인(의료기관편) 등을 비교분석하였다.
- 도출한 세부항목과 기존 범용 보안관리 체계(ISO 27001: 2013 & 27002: 2013[5])와 의료기관용 보안관리체계 ISO 27799: 2016[4]을 포함하여 국내외 의료기관을 대상으로 하는 보안 점검 지표 비교분석을 수행하였다.
- 마지막으로 12개로 도출된 항목을 합리적으로 수행할 수 있는 방안을 마련하기 위해, 상대적 우선순위 분석을 통해 가중치를 산정하였다. 분석 결과, “의료보안 투자(교육)”이 21%, “의료기관(일반)직원”이 18%로 가장 높은 가중치를 보였으며, “의료보안 사고대응 규정관리”는 2%, “의료보안 지속적 개선(인증)”이 2.
- 각 자료의 통제항목 혹은 평가 지표 세부내용을 기반으로 매핑을 통해 분석을 수행하였다. 매핑 방법은 각 지표에서 보유하고있는 가장 낮은 레벨인 세부내용을 기반으로 유사하거나 동일한 내용끼리 맵핑하는 과정을 거쳐서 수행하였으며, 중소형 의료기관의 특성이 반영된 보안관리 모델을 구축하기 위해 의료보안 관련 국내외 관련 문헌(ISO/IEEE 27001 : 2013, ISO/ IEEE 27799 : 2016[4], KISA-ISMS[7], NIST Special Publication 800-66, Joint Commission International Accreditation Standards for Hospitals(JCI 인증), Hospital Accreditation Standards by Functional Category Hospital Type 1 (JCQHC 인증), Quality and Outcomes Framework guidance for GMS contract 2013/14, NHS Commissioning Board, 개인정보보호 자율점검 표(대한병원협회), 의료기관을 위한 정보보호안내서(병원편) (보건복지부), 개인정보보호 가이드라인(의료기관편) 등을 비교분석하였다.
- 보안특성 분류 기준을 설계하였다. 먼저, 보안을 사람이 행하는 범죄행위로부터 조직의 안녕과 질서를 유지하는 것으로 바라볼 때, 의료 보안은 의료기관(병원)에서 Player(행위자, 사람)와 범죄행위의 고의성 여부(Type)를 확인하는 것으로 기준을 설계하였다.
- 따라서 본 논문에서는 중소형 의료기관을 위한 보안관리 평가모형을 설계하고자 한다. 보안관리 평가모형 설계를 위해 문헌분석을 통하여 의료기관이 가지고있는 비즈니스 요소와 보안 특화 요소를 도출하고 의료분야 관련 관리체계, 평가, 인증 체계 내용을 비교분석하고 통계적 검증을 통해 보안관리 모형을 구축한다. 추후 AHP 분석을 통하여 각 항목별 우선순위 (가중치)를 도출하는 것을 목표로 한다.
- 보안특성 분류 기준을 설계하였다. 먼저, 보안을 사람이 행하는 범죄행위로부터 조직의 안녕과 질서를 유지하는 것으로 바라볼 때, 의료 보안은 의료기관(병원)에서 Player(행위자, 사람)와 범죄행위의 고의성 여부(Type)를 확인하는 것으로 기준을 설계하였다.
- 본 연구에서 도출한 각 세부항목의 조작적 정의는 [Table 3]과 같으며, 앞서 분석한 선행 연구 내용을 기반으로 정의를 도출하였다. 세부항목의 조작적 정의에 참고한 선행연구는 [Table 2]의 순서와 동일하게 기재하였다.
- 이러한 중소형 의료기관 보안 특성을 기반으로 중소형 의료기관을 위한 보안관리 평가모형을 설계하고 검증하였다. 설계를 위해 현존하는 의료기관 관련 보안관리체계, 평가 인증 체계 비교분석을 수행 하여 공유정도 또한 확인하였다.
- 설계한 기준은 [Figure 1]과 같으며, 해당 기준을 기반으로 의료기관에 특화된 보안 특성을 도출하기 위해 선행연구를 통하여 의료기관에서 발생하는 보안사고 시나리오를 분석하였다.
- 설문방식은 각 평가 항목들의 타당성(적절한 정도)을 측정하기 위해 5점 척도(1: 아주 적합하지 않다, 2: 적합하지 않다, 3: 보통이다, 4: 적합 하다, 5: 아주 적합하다)로 객관식 형태로 진행 하였다.
- 실제 의료기관에서 보안활동을 수행하고있는 관련 분야 전문가를 대상으로 설문을 진행하였으며, 중소형 의료기관의 규모적 특성상 의료기관 내 · 외부적으로 의료보안활동을 수행하는 담당자를 설문 대상으로 선정하였다. 세부적으로 의료기관 외(外)에서 의료보안활동을 수행하는 의료 ICT 아웃소싱 담당자와 의료기관 내(內)에서 의료보안활동을 수행하는 의료보안 담당자를 대상으로 하였으며, 실제 의료보안활 동을 수행하고 있는 의료진, 원무과 직원 등을 포함하는 의료보안 관련 업무를 전 · 겸임으로 수행하지 않는 의료기관 일반 직원들을 대상으로 설문을 수행하였다.
- 세부항목 선정 및 도출에 있어서는 현재 운영되어지고 있는 국내병원의 한계점과 국제표준 또는 인증체계에서 우선순위가 있는 항목에 초점을 맞추었으며, 관련 선행연구의 공유정도를 확인함으로써 해당 내용을 반영하였다. 본 논문에서 제안하는 중소형 의료기관 보안관리 평가모형의 세부항목은 [Table 3]과 같다.
- 앞서 도출한 중소형 의료기관 보안관리 평가 모형의 세부항목 12가지를 기준으로 각 항목의 가중치를 산정하기 위해 AHP 분석을 실시하였다.
- 우선 중소형 의료기관의 보안 활동을 위한 새로운 보안관리 평가모형 설계를 위해 국내 의료기관 현황, 의료기관 보안특성, 중소형 의료기관 현장조사 등을 통해 세부항목 12개를 도출하였다. 이를 토대로 설계된 모형을 검증하기 위해 실제 의료기관에서 보안활동을 수행하고 있는 관련분야 전문가를 대상으로 적합도 설문을 진행하였으며, 기술통계량 분석을 토대로 타당성을 확인하여 세부항목의 적합 · 타당성을 검증하였다.
- 따라서 본 논문에서는 선행연구 분석을 통해 의료기관 보안 특성을 도출하고 중소형 의료기관의 현장조사를 통해 중소형 의료기관 보안 특성과 현황을 조사하였다. 이러한 중소형 의료기관 보안 특성을 기반으로 중소형 의료기관을 위한 보안관리 평가모형을 설계하고 검증하였다. 설계를 위해 현존하는 의료기관 관련 보안관리체계, 평가 인증 체계 비교분석을 수행 하여 공유정도 또한 확인하였다.
- 우선 중소형 의료기관의 보안 활동을 위한 새로운 보안관리 평가모형 설계를 위해 국내 의료기관 현황, 의료기관 보안특성, 중소형 의료기관 현장조사 등을 통해 세부항목 12개를 도출하였다. 이를 토대로 설계된 모형을 검증하기 위해 실제 의료기관에서 보안활동을 수행하고 있는 관련분야 전문가를 대상으로 적합도 설문을 진행하였으며, 기술통계량 분석을 토대로 타당성을 확인하여 세부항목의 적합 · 타당성을 검증하였다. 최종적으로 중소형 의료기관 보안관리 평가모형으로써 제시한 12가지 항목이 적절함을 입증되었다.
- 도출한 세부항목과 기존 범용 보안관리 체계(ISO 27001: 2013 & 27002: 2013[5])와 의료기관용 보안관리체계 ISO 27799: 2016[4]을 포함하여 국내외 의료기관을 대상으로 하는 보안 점검 지표 비교분석을 수행하였다. 중소형 의료기관의 특성이 반영된 보안관리 모델 구축을 위해 국내외 의료보안 관련 표준을 포함한 선행연구를 비교분석하였으며, 본 연구에서 분석한 선행연구 목록은 [Table 2]와 같다.
- 중앙대학교 의료보안연구소가 수행한 중소형 의료기관의 보안 수준 실태조사를 참고하여 중소형 의료기관 경영환경 특성, 의료IT서비스 환경 특성, 의료보안특성에 대해 분석하였다. 해당 조사는 의원과 병원 200개소를 대상으로 조사를 진행하였으며, 총 29개의 문항으로 구성 되어져있다[3].
- Player(행위자, 사람)은 내부자, 인가된 제3자, 비인가 제3자, Etc. 총 4가지로 분류하였으며, 각 Player(행위자, 사람)들 각각 고의(남용)와 실수(오용)에 의해 발생할 수 있는 위험요소를 비교하여 결과를 도출하였다.
- 제2장에서는 관련 선행연구 분석을 통해 중소형 의료기관의 현황 및 범위를 선정하고 의료기관의 특화적인 보안 특성을 도출 하였다. 추가적으로 중소형 의료기관 현장조사 내용을 통해 현재 중소형 의료기관이 가지고있는 환경을 반영할 수 있도록 하였다. 제 3장에서는 중소형 의료기관만이 가지고있는 보안 특성이 반영된 중소형 의료기관 보안관리 평가 항목을 도출하고, 기 도출한 평가 항목에 대해 국내․외 의료분야 관련 관리체계, 평가, 인증 체계 세부 조항을 기반으로 비교분석하여 항목별 공유 정도를 확인하고 중소형 의료기관 보안관리 평가모형을 설계한다.
- 세부항목의 조작적 정의에 참고한 선행연구는 [Table 2]의 순서와 동일하게 기재하였다. 추가적으로, 세부항목을 선정함에 있어 중소형 의료기관 현장조사 내용을 반영하여 현재 국내 에서 운영되어지고 있는 의원급 병원과 일반병원에서 겪고있는 의료보안 한계점과 경영현황 IT 인프라 현황 등을 최대한 반영하여 세부항목을 선정하였다.
대상 데이터
- 국민건강보험법[12]에 의한 구분으로는 의료전달체계를 기반으로 구분되어지고 1차, 2 차, 3차 의료기관으로 구분하고 있다. 1차 의료 기관은 의원, 보건소를 포함하며 외래환자 진료를 수행하는 30병상 미만의 의료기관으로 한정한다. 2차 의료기관은 병원, 종합병원 급으로 필수 진료과목 요건을 갖춘 병원을 대상으로 하며 30병상 이상 규모를 보유한 의료기관으로 한정한다.
- 본 연구의 최종 목표인 중소형 의료기관을 위한 보안관리 평가모형을 검증하기 위하여 설문조사 수행을 위한 대상을 선별하였다. 실제 의료기관에서 보안활동을 수행하고있는 관련 분야 전문가를 대상으로 설문을 진행하였으며, 중소형 의료기관의 규모적 특성상 의료기관 내 · 외부적으로 의료보안활동을 수행하는 담당자를 설문 대상으로 선정하였다.
- 본 연구의 최종 목표인 중소형 의료기관을 위한 보안관리 평가모형을 검증하기 위하여 설문조사 수행을 위한 대상을 선별하였다. 실제 의료기관에서 보안활동을 수행하고있는 관련 분야 전문가를 대상으로 설문을 진행하였으며, 중소형 의료기관의 규모적 특성상 의료기관 내 · 외부적으로 의료보안활동을 수행하는 담당자를 설문 대상으로 선정하였다. 세부적으로 의료기관 외(外)에서 의료보안활동을 수행하는 의료 ICT 아웃소싱 담당자와 의료기관 내(內)에서 의료보안활동을 수행하는 의료보안 담당자를 대상으로 하였으며, 실제 의료보안활 동을 수행하고 있는 의료진, 원무과 직원 등을 포함하는 의료보안 관련 업무를 전 · 겸임으로 수행하지 않는 의료기관 일반 직원들을 대상으로 설문을 수행하였다.
- 중앙대학교 의료보안연구소가 수행한 중소형 의료기관의 보안 수준 실태조사를 참고하여 중소형 의료기관 경영환경 특성, 의료IT서비스 환경 특성, 의료보안특성에 대해 분석하였다. 해당 조사는 의원과 병원 200개소를 대상으로 조사를 진행하였으며, 총 29개의 문항으로 구성 되어져있다[3].
성능/효과
- ”라는 선행연구 분석 결과와 유사하게 중소형 의료기 관에서는 의료IT시스템과 관련된 보안활동을 수행하는 것 보다 의료기관 구성원 모두 의료 보안의 중요성을 인지하고 그 수행방법을 학습할 수 있도록 일반 직원에 대한 관리와 의료보안 교육 투자 정도를 평가 하는 항목이 가장 높은 가중치를 보이는 것을 확인할 수 있다.
- 셋째, 의료지원부서(원무과, 전산실 등을 포함한 의료행위를 수행하지 않는 부서)의 구성원 비율은 평균 28%로 확인되어 진료 위주의 의료서비스를 실시하고 있는 것을 확인하였다. 넷째, 원장(의사) 중심의 수직적 의사결정 구조로 운영되는 기관이 82%로 나타나 대다수의 의료기관이 수직적 경영 구조로 운영되는 것을 확인하였다. 다섯째, 현재 중소형 의료기관은 치료 · 진료 중심의 병원 운영방식을 따르며 구성원 비율 또한 의료부서에 치중된 것을 알 수 있었음 대다수의 의료기관이 원장(의사) 중심의 수직적 의사결정 구조로 운영되어 독단적 경영환경을 가지고 있음을 확인한 것이 있다.
- 넷째, 원장(의사) 중심의 수직적 의사결정 구조로 운영되는 기관이 82%로 나타나 대다수의 의료기관이 수직적 경영 구조로 운영되는 것을 확인하였다. 다섯째, 현재 중소형 의료기관은 치료 · 진료 중심의 병원 운영방식을 따르며 구성원 비율 또한 의료부서에 치중된 것을 알 수 있었음 대다수의 의료기관이 원장(의사) 중심의 수직적 의사결정 구조로 운영되어 독단적 경영환경을 가지고 있음을 확인한 것이 있다.
- 중소형 의료기관의 의료IT서비스 환경적 특성의 주요 기술통계 결과는 총 3가지로 첫째, 설문에 응답한 의료기관 99%가 의료IT서비스를 사용하고 있지만, 의료기관 내부 의료IT서비스 전담부서가 존재하지 않거나 외부 아웃소싱으로 운영되고 있는 기관은 전체 97%로 나타났다. 둘째, 전체 매출액 대비 의료IT서비스 투자율이 1%가 채 되지 않는 기관이 절반 이상을 차지함을 확인하였다. 셋째, 의료IT서비스는 보급화 되어있으나, 서비스 도입 이후 유지보수 및 최신화에 있어 의료기관이 무관심한 상황이며 이에 대한 투자 또한 거의 이루어지지 않는 상황임을 알 수 있었다.
- 의료IT서비스 투자율을 1%가 되지 않는 기관이 절반 이상을 차지한 것을 미루어 볼 때에, 의료정보보호에 대한 투자가 전혀 이루어지지 않고 있음을 확인할 수 있었다. 마지막으로, 설문에 응답한 기관 중 전체 86%에 해당하는 기관이 의료보안활동의 중요성을 인지하고 있으며, 83%에 해당하는 기관이 중소형 의료기관을 위한 정보보호 관리체계의 필요성을 인지하고 있었다. 하지만, 전담인력부족(62.
- 본 연구에서 도출한 각 세부항목과 선행연구의 공유정도를 확인하였을 때, “의료기관(일반) 직원” 항목이 93%로 가장 높은 수치를 보였으며, 이후 “의료정보 보안관리” 87%, “의료보안 전문인력” 73%, “지속적 개선(인증)” 67% 순으로 높은 공유정도를 나타냈다.
- 1 이하이면 응답자들의 답변을 신뢰할 수 있다고 본다. 본 연구의 AHP 분석 수행 결과 Consistency Index 는 0.043으로 0.1보다 낮은 수치를 도출하여 응답자들의 답변을 신뢰할 수 있다고 해석된다.
- 본 연구의 AHP 분석결과, 상대적으로 중요한 순으로 나열하면 “의료보안 투자(교육)”은 21%, “의료기관(일반) 직원”은 18%, “보호구역 (장비)설정과 관리”는 11%로 상대적 우선순위를 보였다.
- 분석 결과, “의료보안 투자(교육)”이 21%, “의료기관(일반)직원”이 18%로 가장 높은 가중치를 보였으며, “의료보안 사고대응 규정관리”는 2%, “의료보안 지속적 개선(인증)”이 2.5%로 가장 낮은 우선순위를 보였다.
- 설문은 대면조사를 주로 수행하여 설문에 대한 이해를 충분히 할 수 있도록 하였으며, 실제 유효 설문은 56개로 나타났다. 표본의 수가 충분하진 않지만 설문 수행 대상을 질적으로 높은 수준의 대상만을 선별하여 진행하였기 때문에, 연구 결과의 신빙성을 충분히 입증할 수 있는 결과가 나올 것으로 생각된다.
- 설문조사 수행 결과, 각 세부항목의 평균값 (기준 타당성은) 모두 3.5 이상으로 중소형 의료기관 보안관리 평가모형에 적합함을 나타내었다.
- 5%, “법적 요구 규제사항”이 4%로 가장 낮은 우선순위를 보였다. 설문조사 수행 당시 대면조사를 통해 확인한 결과, 대다수의 의료기관에서는 인증에 관한 부정적인 인식을 보유하고 있음을 확인할 수 있었다. 의료기 관의 인증을 수행하기 위해 실제 의료기관 종사자들의 업무 가중이 필연적으로 증가함에 따라 대부분의 의료기관 종사자들은 인증 자체에 반감을 부정적 영향을 가지고 있었으며, AHP 분석 결과 또한 이와 동일하게 도출되어 “지속적 개선(인증)” 항목이 낮은 가중치를 보이는 것을 확인할 수 있다.
- 둘째, 전체 매출액 대비 의료IT서비스 투자율이 1%가 채 되지 않는 기관이 절반 이상을 차지함을 확인하였다. 셋째, 의료IT서비스는 보급화 되어있으나, 서비스 도입 이후 유지보수 및 최신화에 있어 의료기관이 무관심한 상황이며 이에 대한 투자 또한 거의 이루어지지 않는 상황임을 알 수 있었다.
- 중소형 의료기관의 경영환경 특성 기술통계 분석의 주요 결과로는 첫째, 의료IT서비스를 사용하는 국내 의료기관에 대한 설문 분석 결과, 현재 84%에 해당하는 의료기관이 진료중심의 운영방식을 따르는 것으로 나타났으며 둘째, 의료부서(진료 등을 포함한 의료행위를 수행하는 부서)에 종사하는 구성원 비율은 평균 72%로 나타났다. 셋째, 의료지원부서(원무과, 전산실 등을 포함한 의료행위를 수행하지 않는 부서)의 구성원 비율은 평균 28%로 확인되어 진료 위주의 의료서비스를 실시하고 있는 것을 확인하였다. 넷째, 원장(의사) 중심의 수직적 의사결정 구조로 운영되는 기관이 82%로 나타나 대다수의 의료기관이 수직적 경영 구조로 운영되는 것을 확인하였다.
- 중소형 의료기관 의료보안 특성의 주요 기술 통계 분석 결과는 첫째, 의료기관 내부 의료정보보호 전담부서가 존재하지 않거나 외부 아웃 소싱으로 운영되고 있는 기관은 전체 97%로 나타났으며 둘째, 의료IT서비스 투자 대비 의료 정보보호 투자율이 1%가 채 되지 않는 기관이 절반 이상을 차지하였다. 의료IT서비스 투자율을 1%가 되지 않는 기관이 절반 이상을 차지한 것을 미루어 볼 때에, 의료정보보호에 대한 투자가 전혀 이루어지지 않고 있음을 확인할 수 있었다. 마지막으로, 설문에 응답한 기관 중 전체 86%에 해당하는 기관이 의료보안활동의 중요성을 인지하고 있으며, 83%에 해당하는 기관이 중소형 의료기관을 위한 정보보호 관리체계의 필요성을 인지하고 있었다.
- 의료기 관의 인증을 수행하기 위해 실제 의료기관 종사자들의 업무 가중이 필연적으로 증가함에 따라 대부분의 의료기관 종사자들은 인증 자체에 반감을 부정적 영향을 가지고 있었으며, AHP 분석 결과 또한 이와 동일하게 도출되어 “지속적 개선(인증)” 항목이 낮은 가중치를 보이는 것을 확인할 수 있다.
- 이와 같이 선행연구를 분석한 결과 내부자에 의해 발생하는 보안사고 시나리오가 가장 많은 것으로 나타났으며, 해당 시나리오의 발생빈도 또한 가장 높은 것으로 확인했다. 의료기관 내에서 사용되어지고 있는 IT 시스템 관련 보안사고 시나리오는 굉장히 많은 양을 차지하고 있었지만, 실제 발생빈도를 확인하였을 때 5개의 시나리오가 실제 의료기관에서 발생하는 보안사고이며, 발생 빈도를 5점 척도로 구분할 때 1(거의 없음), 2(없음)에 해당하는 시나리오만 존재하는 것을 확인하였다. 이를 통해, 실제 의료기관에서 빈번히 발생되고있는 보안사고는 내부인에 의한 오 · 남용에 의한 사고임을 확인 할 수 있었다.
- 의료기관 내에서 사용되어지고 있는 IT 시스템 관련 보안사고 시나리오는 굉장히 많은 양을 차지하고 있었지만, 실제 발생빈도를 확인하였을 때 5개의 시나리오가 실제 의료기관에서 발생하는 보안사고이며, 발생 빈도를 5점 척도로 구분할 때 1(거의 없음), 2(없음)에 해당하는 시나리오만 존재하는 것을 확인하였다. 이를 통해, 실제 의료기관에서 빈번히 발생되고있는 보안사고는 내부인에 의한 오 · 남용에 의한 사고임을 확인 할 수 있었다.
- 중소형 의료기관 의료보안 특성의 주요 기술 통계 분석 결과는 첫째, 의료기관 내부 의료정보보호 전담부서가 존재하지 않거나 외부 아웃 소싱으로 운영되고 있는 기관은 전체 97%로 나타났으며 둘째, 의료IT서비스 투자 대비 의료 정보보호 투자율이 1%가 채 되지 않는 기관이 절반 이상을 차지하였다. 의료IT서비스 투자율을 1%가 되지 않는 기관이 절반 이상을 차지한 것을 미루어 볼 때에, 의료정보보호에 대한 투자가 전혀 이루어지지 않고 있음을 확인할 수 있었다.
- 중소형 의료기관의 경영환경 특성 기술통계 분석의 주요 결과로는 첫째, 의료IT서비스를 사용하는 국내 의료기관에 대한 설문 분석 결과, 현재 84%에 해당하는 의료기관이 진료중심의 운영방식을 따르는 것으로 나타났으며 둘째, 의료부서(진료 등을 포함한 의료행위를 수행하는 부서)에 종사하는 구성원 비율은 평균 72%로 나타났다. 셋째, 의료지원부서(원무과, 전산실 등을 포함한 의료행위를 수행하지 않는 부서)의 구성원 비율은 평균 28%로 확인되어 진료 위주의 의료서비스를 실시하고 있는 것을 확인하였다.
- 중소형 의료기관의 의료IT서비스 환경적 특성의 주요 기술통계 결과는 총 3가지로 첫째, 설문에 응답한 의료기관 99%가 의료IT서비스를 사용하고 있지만, 의료기관 내부 의료IT서비스 전담부서가 존재하지 않거나 외부 아웃소싱으로 운영되고 있는 기관은 전체 97%로 나타났다. 둘째, 전체 매출액 대비 의료IT서비스 투자율이 1%가 채 되지 않는 기관이 절반 이상을 차지함을 확인하였다.
- 이를 토대로 설계된 모형을 검증하기 위해 실제 의료기관에서 보안활동을 수행하고 있는 관련분야 전문가를 대상으로 적합도 설문을 진행하였으며, 기술통계량 분석을 토대로 타당성을 확인하여 세부항목의 적합 · 타당성을 검증하였다. 최종적으로 중소형 의료기관 보안관리 평가모형으로써 제시한 12가지 항목이 적절함을 입증되었다.
후속연구
- 본 연구의 한계점으로는 설계한 모형을 실제 조직에 적용해보는 사례연구를 수행하지 못한 점이다. 사례연구를 수행하지 못해 기 제안한 모형의 실제 적용 타당성을 확인하기 어려우며, 실제 중소형 의료기관의 적용 및 활용에 있어 한계점을 가진다.
- 본 연구의 한계점으로는 설계한 모형을 실제 조직에 적용해보는 사례연구를 수행하지 못한 점이다. 사례연구를 수행하지 못해 기 제안한 모형의 실제 적용 타당성을 확인하기 어려우며, 실제 중소형 의료기관의 적용 및 활용에 있어 한계점을 가진다.
- 상급종합병원을 대상으로 하는 ISMS 인증이 의무화되어 시행되어지고 있지만, 상대적으로 많은 개소를 가지고있는 중소형 의료기관에 대한 보안인증과 평가체계는 전무한 실정에서 본 연구의 결과를 통해 중소형 의료기관의 비즈니스 환경과 제약조건을 반영한 평가모형을 제안함으로써 실천 가능한 의료기관 보안활동 및 대책 수립방안을 제시할 수 있을 것으로 기대된다.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.