서울아산병원, 국제정보보호관리체계 인증 획득

ISO 27799 적용한 의료분야 최적화된 글로벌 정보보호 인증 획득

[보안뉴스 김정완] 신속하고 정확한 진료 환경 지원과 환자의 진료 정보 보호에 대한 중요성이 높아지는 가운데 서울아산병원(병원장 이정신)은 최근 처방전달시스템(OCS), 전자의무기록(EMR), 의료영상저장전송시스템(PACS), 홈페이지를 포함한 의료정보시스템 부문에서 정보보호 국제표준인 ‘ISO 27001’ 인증을 획득했다.

▲서울아산병원은 지난 2일, 정보보호 국제표준인 ISO 27001 인증을 획득했다고 이를 수행한 정보보호 컨설팅 전문업체인 에이쓰리시큐리티가 14일 밝혔다. 사진은 지난 2일 이정신 서울아산병원장이 인증기관인 영국표준협회(BSI)로부터 ISO 27001 인증을 수여받은 후 관계자들의 기념촬영.

이에 이번 인증을 함께 진행한 정보보호컨설팅 전문업체 에이쓰리시큐리티 측은 “ISO 27001은 기관의 정보보호 관리체계 구축을 인증하는 것으로, 특히 이번 인증 획득은 의료기관의 정보보호를 위해 ISO 27799를 함께 적용한 인증이라는데 큰 의의가 있다”며 “ISO 27799은 2008년에 발표된 의료정보보호 국제표준으로 국내에서는 서울아산병원이 최초로 적용하게 되며, 환자의 정보보호를 위해 업무절차의 변화를 전격 수용한 서울아산병원의 높은 정보보호의지가 있었기에 가능했던 것”이라고 전했다.

여기서 ISO 27799는 ‘Health informatics-Information security management in health using ISO/IEC 27002’의 약어로 의료분야에 있어 특화된 정보보호 관리체계다.

서울아산병원은 인증획득에 앞서 지난 3월 보건복지부에서 발표한 의료기관 개인정보보호 가이드라인을 적용해 관련 병원 규정과 지침을 개정하고, 관리적·기술적 보호대책을 강화시켜왔으며 이와 함께 의료정보시스템에 대해서도 개인정보 영향평가를 실시하였고 정보시스템을 통해 유출될 가능성이 있는 취약점을 찾아내어 사전에 차단하는 등 지속적인 정보보호관리 강화활동을 펼쳐왔다. 또한 본격적인 인증획득을 위해 의료 정보실을 주축으로 약 3개월간의 지속적인 준비와 시스템 개선 등의 노력을 기울였다.

이에 이번 인증을 담당했던 민성우 서울아산병원 의료정보운영·개발 팀장은 “개인 건강정보 보호는 아무리 강조해도 지나치지 않으며, 이번 ISO 27001 인증획득은 서울아산병원의 정보보호 능력을 확인하는 계기가 되었다”고 말했다.

한편 지난 9월 2일 개최된 ISO 27001 인증 수여식에서 이정신 서울아산병원 병원장은 “서울아산병원은 진료목적으로 광범위한 환자의 건강정보를 활용하고 있으므로, 이를 체계적으로 관리하기 위해서는 의료기관에 특화된 국제표준 정보보호관리체계가 필요했다. 이번 인증획득을 토대로 서울아산병원은 환자의 개인정보보호에 더 많은 노력을 기울일 것”이라고 밝혔다.

[김정완 기자(boan3@boannews.com)]

최근 발생한 크라우드 스트라이크의 보안 SW 업데이트 오류 사태처럼 SW 공급망에 보안이슈가 발생할 경우 관련된 각종 시스템 및 IT 인프라 마비가 일어날 수 있다는 게 드러났습니다. 이러한 공급망 보안을 위협하는 가장 큰 요인은 무엇이라고 생각하시나요?
	랜섬웨어, 피싱 등의 사이버 공격
	SW 업데이트 및 SW 교체 과정에서의 오류
	SW 자체에 존재하는 보안 취약점
	시스템 관리자의 운영상 실수 및 관리 미흡
	기타(댓글로)