06. 의료정보의 비밀보호

1. 의료정보의 개인정보보호 및 보안의 개요

그림 6-1. 의료분야 정보보호관리체계 수립 필요성

1. 의료정보의 개인정보보호 및 보안의 개요

2) 용어정의 개인정보

개인건강정보

프라이버시

표 6-1. 개인정보의 성립요건

1. 의료정보의 개인정보보호 및 보안의 개요

2) 관련 제도 UN 인권선언 및 EU 프라이버시 협약

OECD 가이드라인

1. 수집제한의 원칙

2. 데이터 질의 원칙

3. 목적 구체성의 원칙

4. 사용제한의 원칙

5. 안전성 확보의 원칙

6. 공개의 원칙

7. 개인 참여의 원칙

8. 책임의 원칙

1. 의료정보의 개인정보보호 및 보안의 개요

3) 개인건강정보보호를 위한 의료기관의 업무 의료정보에 대한 의료인의 의무

의료기관 개인정보보호 가이드라인

2. 의료정보의 보호 및 보안

1) 국제표준 ISO (ISO27001) (1) 구조

보안정책, 정보보안조직, 자산관리, 인적자원보안, 물리적 및 환경 보안,

통신 및 운영관리, 접근 통제, 정보시스템 도입, 개발 및 유지, 정보보안사

고 관리, 업무 연속성계획, 준거성

(2) 기대효과

환자의 병원에 대한 신뢰성 제고, 외적인 보안의 강화, 의료정보에 대한 다

국적 제약사의 신뢰성 제고로 임상연구의 활성화, 의료기관 브랜드 파워의

강화

(3) 암호/인증/권한관리

2. 의료정보의 보호 및 보안

2) 미국의 HIPAA(건강보험 정보 활용 및 책임에 관한 법,

1996)의 개요 (1) 미국 HIPAA Privacy rule 구성

(2) HIPAA를 통해 전자의료정보의 관리, 물리, 기술적 대책에 대해 규정

(3) HIPAA Security rule 구성

표 6-2. HIPAA Security rule 구성

3. 정보보호 관리체계

1) 정보보호정책 (1) 정보보호지침

① 교육계획의 수립 및 시행

② 교육 및 훈련 내용

(2) 검토 및 평가

표 6-3. 보안문제의 내용

3. 정보보호 관리체계

2) 정보보호 조직체계 (1) 정보보호조직의 구성 및 역할

① 책임체제의 확보

② 정보보호 위원회

(2) 정보보호 인력

① 고위경영진, ② 최고 프라이버시 관리자, ③ 정보보호 관리자

④ 정보 시스템 보안 전문가, ⑤ 정보자산 소유자와 데이터 소유자

⑥ 보안전문가/자문가, ⑦ IT 개발자, ⑧ IS 감사인,

⑨ 시스템 관리자와 행정과, ⑩ 보안 운영자, ⑪ 사용자

4. 정보보안 계획

위협 물리적 문제

불만을 품은 직원들

악성코드

해커들

절도

과실과 태만

검색

취약성

예상치 못한 다운타임들의 원인

지적 자산의 보호

다운타임의 비용

바이러스의 일반적인 형태

해커들의 무기

5. 정보보안사고 예방 및 대응

정보보안사고 사례

1) 정보보안 예방활동

2)정보보안사고 대응체계 구축

3)재발방지대책

6. 정보보안 감사

1) 정보보안감사 수행

2)보안 감사결과의 보고

7. 정보자산관리

1) 정보자산 목록과 등급 분류

2) 정보자산 취급절차 (1)정보자산분류지침

(2)자산목록관리

(3)비밀보안대책

3) 정보자산관리(도입, 사용 및 폐기) (1)정보자산 도입

(2)정보자산 사용

(3)정보자산 폐기

(4)데이터의 파기

8. 위험분석 및 관리

1) 위험분석 (1)위험

(2)위험요소

(3)위험의 등급설정

표 6-4. 정보시스템 위험 등급 수준

표 6-5. 정보시스템의 위험등급 설정

8. 위험분석 및 관리

2) 위험관리 (1)위험관리 절차

3) 위험 평가

4) 문서화

표 6-6. 위험분석 및 관리의 문서화

9. 인적보안

1) 역할 및 책임규정 (1)직무분장

(2)인원선발 정책

(3)보안규정 준수

2) 정보보안 교육 및 훈련

3) 정보보안인식 및 환경조성

10. 물리적 보안

1) 시설보안 (1)보호구역 지정 및 관리

(2)출입통제

(3)물품반입통제

(4)휴대용 컴퓨터의 보안