ISO 27799 보건의료 정보보안

문의 및 신청

TEL: 02) 6240 - 4675

담당자: 한국표준협회 국제인증센터

신청서 작성 및 제출 방법에 대해서는 위 담당자에게 연락주시기 바랍니다.

보건의료 서비스 정보보안 인증 배경

디지털 전환과 함께 보건의료, AI, 빅데이터, IoT 등 신기술 확산으로 기업은 IT서비스의 품질과 신뢰성, 정보보안을 동시에 요구받고 있습니다. 데이터 규모 확대에 따라 유출·오남용 및 정보보안 사고에 대한 우려와 법규 준수 필요성도 증가하고 있습니다. 특히 의료기관의 전자의무기록(EMR), 전자건강기록(EHR), 환자전자기록(PER)과 웨어러블 기기의 확산에 따른 개인건강기록(PHR)의 증가는 건강정보 보호와 환자 권리 보장을 중요한 과제로 만들고 있습니다. 이에 따라 정보보안 체계 강화가 의료기관의 핵심 경쟁력으로 부각되고 있습니다.

이에 의료기관 및 의료분야 정부기관들은 ISO 27799 보건의료 정보보안 표준에 따라 보건의료 환경에서의 정보보안 및 개인정보보안 체계를 구축하고 효과적으로 운영하여, 국내외 정보보안 규제에 대응하고 보건의료 서비스에 대한 환자 및 국민들의 신뢰를 확보할 수 있습니다.

KSA의 ISO 27799 인증은 의료기관, 정부부처, 공공기관, 일반기업 등 모든 형태의 조직이 취득할 수 있습니다. 가능한 경우, “ISO/IEC 27001 정보보안경영시스템” 인증과 의료기관 정보보안 인증을 통합으로 추진하는 것이 권장됩니다.
인증기준
KSA는 표준과 품질을 바탕으로 대한민국 산업계를 선도하는 인증기관으로서 국가와 기업의 정보보안 활동을 지원해왔습니다. 산업계와 공공부문의 정보보안체계 운영 및 문제해결을 지원해온 경험을 바탕으로, ISO 27799 보건의료 서비스 정보보안 인증서비스를 제공하고 있습니다.

KSA는 제표준의 조항을 반영하여 심사와 인증을 수행합니다. 심사 시 다음과 같은 통제항목과 적용성 보고서는 필수 요구사항입니다.
- ISO 27799 부속서 C “ISO 27799 적합화를 위한 체크리스트”를 반영한 적용성 보고서
- ISO/IEC 27002 “통제항목” 을 반영한 적용성 보고서 - 보건의료 정보보안 표준은 ISO/IEC 27002를 보충하는 표준이므로, 인증을 받고자 하는 조직은 “ISO/IEC 27002 정보보호, 사이버보안 및 프라이버시 보호/
  정보보호 통제” 표준의 통제항목을 구현하고 적합하게 실행해야합니다.

<보건의료 정보보안 인증심사에 적용되는 표준>

인증 명칭	표준 번호	표준명
보건의료 정보보안	ISO 27799	보건의료정보 — ISO/IEC 27002 기반 보건의료 정보보호관리
공통 항목	ISO/IEC 27002	정보보안, 사이버보안 및 프라이버시 보호 - 정보보호 통제

ISO 27799 표준의 통제 뿐만 아니라, 일부 “구현지침”도 인증심사 시 필수 요구사항입니다.(상세한 내용은 인증 문의처로 연락주시기 바랍니다.)

인증 효과
- 정보보안 문제의 사전 대응과 사고 발생 시 빠른 회복
- 환자정보 보호를 포함한 국제표준 기반 정보보호 강화
- 의료 분야 법규 및 글로벌 정보보안 규제 대응력 제고
- 정보보안 거버넌스·보안문화 강화로 조직 경영 효율성 향상
- 글로벌 시장과 이해관계자 대상 신뢰 및 브랜드 가치 확보

경영시스템 수립 및 인증취득 절차

STEP 01 추진주체 및 적용범위 결정
- 주무부서 결정
- 인증대상 조직 결정
STEP 02 현황분석
- 자료수집
- 인증기준(표준)과 갭 분석
- 조직상황의 이해
STEP 03 이해관계자 파악
- 이해관계자의 니즈와
  기대사항 분석
STEP 04 경영 방침 수립
- 정보보안/개인정보보안 목표를 고려
- 임직원 및 이해관계자에게 홍보
STEP 05 정보보안/개인정보보안
경영계획 수립
- 통제항목 별 대응계획 수립
- 법적 요구사항 결정 및 반영
- 위험요인 파악 및 리스크 평가
- 정보보안/개인정보보안 경영시스템
  프로세스 구현(문서화)
STEP 06 목표 달성 기획
- 달성대상(각종 성과지표)
- 필요인력 및 자원
- 책임자
- 추진 방법/시기 등
STEP 07 운용
- 정보보안/개인정보보안
  경영계획 실행
- 세부 프로세스 및 운용
  전반의 문서화
- 내부심사원 양성
- 성과지표별 모니터링 및 성과관리
STEP 08 성과평가 및 개선
- 정보보안 목표(KPI) 평가,
  법적 요구사항 준수 평가
- 내부심사
- 경영검토 및 시정조치
STEP 09 인증 획득 및 유지
- 인증신청 및 계약
- 현장심사
- 3년 유효기간 동안, 매년
  정기심사 실시

<div class="ksakr_wrap ksakr_wrap2">
        <h1 class="title_1">ISO 27799 보건의료 정보보안</h1>
        <div class="section cert2_2_1_7">
          <div class="section cert2_2_1_2_1 mb50">
            <div class="section contract_21001">
              <div class="iso_tel mb70">
                <h2 class="title_2">문의 및 신청</h2>
                <div class="bg_gray bg_gray2">
                  <dl>
                    <dt>TEL</dt>
                    <dd class="cl_red1">02) 6240 - 4675</dd>
                  </dl>
                  <dl>
                    <dt>담당자</dt>
                    <dd>한국표준협회 국제인증센터</dd>
                  </dl>
                  <div>
                    <a href="https://ksa.or.kr/sites/ksa_kr/files/HISF001_ISO 27799_인증심사신청서_r0.doc" download="">ISO 27799보건의료 정보보안 인증 신청서 다운로드</a>
                  </div>
                </div>  
                <ul class="list_style2 mt10">
                  <li>신청서 작성 및 제출 방법에 대해서는 위 담당자에게 연락주시기 바랍니다.</li>
                </ul>        
              </div>
              
             </div>
              
              <div class="iso_icon_box">
                <ul class="">
                  <li class="iso_icon_list">
                    <img src="https://ksa.or.kr/sites/ksa_kr/images/renewal/cert/iso_icon1.png" alt="">
                    <dl>
                      <dt>보건의료 서비스 정보보안  인증 배경</dt>
                      <dd>
                        디지털 전환과 함께 보건의료, AI, 빅데이터, IoT 등 신기술 확산으로 기업은 IT서비스의 품질과 신뢰성, 정보보안을 동시에 요구받고 있습니다. 데이터 규모 확대에 따라 유출·오남용 및 정보보안 사고에 대한 우려와 법규 준수 필요성도 증가하고 있습니다. 특히 의료기관의 전자의무기록(EMR), 전자건강기록(EHR), 환자전자기록(PER)과 웨어러블 기기의 확산에 따른 개인건강기록(PHR)의 증가는 건강정보 보호와 환자 권리 보장을 중요한 과제로 만들고 있습니다. 이에 따라 정보보안 체계 강화가 의료기관의 핵심 경쟁력으로 부각되고 있습니다.
                        <br><br>
                        이에 의료기관 및 의료분야 정부기관들은 ISO 27799 보건의료 정보보안 표준에 따라 보건의료 환경에서의 정보보안 및 개인정보보안 체계를 구축하고 효과적으로 운영하여, 국내외 정보보안 규제에 대응하고 보건의료 서비스에 대한 환자 및 국민들의 신뢰를 확보할 수 있습니다.
                        <br><br>
                        KSA의 ISO 27799 인증은 의료기관, 정부부처, 공공기관, 일반기업 등 모든 형태의 조직이 취득할 수 있습니다. 가능한 경우, “ISO/IEC 27001 정보보안경영시스템” 인증과 의료기관 정보보안 인증을 통합으로 추진하는 것이 권장됩니다.

</dd>

</dl>
                  </li>
                  <li class="iso_icon_list">
                    <img src="https://ksa.or.kr/sites/ksa_kr/images/renewal/cert/iso_icon2.png" alt="">
                    <dl>
                      <dt>인증기준</dt>
                      <dd>
                        KSA는 표준과 품질을 바탕으로 대한민국 산업계를 선도하는 인증기관으로서 국가와 기업의 정보보안 활동을 지원해왔습니다. 산업계와 공공부문의 정보보안체계 운영 및 문제해결을 지원해온 경험을 바탕으로, ISO 27799 보건의료 서비스 정보보안 인증서비스를 제공하고 있습니다.
                        <br><br>
                        KSA는 제표준의 조항을 반영하여 심사와 인증을 수행합니다. 심사 시 다음과 같은 통제항목과 적용성 보고서는 필수 요구사항입니다.
                        <br><br>
                        <ul class="list_style2">
                          <li>ISO 27799 부속서 C “ISO 27799 적합화를 위한 체크리스트”를 반영한 적용성 보고서</li>
                          <li>ISO/IEC 27002 “통제항목” 을 반영한 적용성 보고서
                            <span style="display:block; padding-left: 10px; margin-top: 20px; font-size: 16px; letter-spacing: -0.5px; line-height: 1.8;">- 보건의료 정보보안 표준은 ISO/IEC 27002를 보충하는 표준이므로, 인증을 받고자 하는 조직은 “ISO/IEC 27002 정보보호, 사이버보안 및 프라이버시 보호/<br>
           정보보호 통제” 표준의 통제항목을 구현하고 적합하게 실행해야합니다.</span>
                          </li>
                        </ul>
                      </dd>
                    </dl>
                  </li>
                </ul>
              </div>

</div>
            <strong style="display: block; text-align: center; font-size: 18px;"><보건의료 정보보안 인증심사에 적용되는 표준></strong>
            <div class="tbl_style2 mt30">
                
                <table class="tbl_scroll_1024">
                  <colgroup>
                    <col width="20%">
                    <col width="20%">
                    <col width="*">
                  </colgroup>
                  <thead>
                    <tr>
                      <th class="cl_green2">인증 명칭</th>
                      <th class="cl_green2">표준 번호</th>
                      <th class="cl_green2">표준명</th>
                    </tr>
                    </thead>
                    <tbody>
                      <tr>
                        <td>보건의료 정보보안</td>
                        <td>ISO 27799</td>
                        <td class="left">보건의료정보 — ISO/IEC 27002 기반 보건의료 정보보호관리</td>
                      </tr>     
                      <tr>
                        <td>공통 항목</td>
                        <td>ISO/IEC 27002</td>
                        <td class="left"> 정보보안, 사이버보안 및 프라이버시 보호 - 정보보호 통제</td>
                      </tr>
                  </tbody>
                </table>
              </div>
              <p class="mt10">ISO 27799 표준의 통제 뿐만 아니라, 일부 “구현지침”도 인증심사 시 필수 요구사항입니다.(상세한 내용은 인증 문의처로 연락주시기 바랍니다.)</p>
          
              <div class="iso_icon_box">
                <ul class="">
                  <li class="iso_icon_list">
                    <img src="https://ksa.or.kr/sites/ksa_kr/images/renewal/cert/iso_icon3.png" alt="">
                    <dl>
                      <dt>인증 효과</dt>
                      <dd>
                        <ul class="list_style2">
                          <li>정보보안 문제의 사전 대응과 사고 발생 시 빠른 회복</li>
                          <li>환자정보 보호를 포함한 국제표준 기반 정보보호 강화</li>
                          <li>의료 분야 법규 및 글로벌 정보보안 규제 대응력 제고</li>
                          <li>정보보안 거버넌스·보안문화 강화로 조직 경영 효율성 향상</li>
                          <li>글로벌 시장과 이해관계자 대상 신뢰 및 브랜드 가치 확보</li>
                        </ul>
                      </dd>

</dl>
                  </li>

</ul>
              </div>

<div class="section mt100">
              <div class="left15 iso_10002_cont4 iso_chart3">
                <h2 class="title_2 mt100">경영시스템 수립 및 인증취득 절차</h2>
                <ul>
                  <li>
                    <strong>STEP 01</strong>
                    <em>추진주체 및 적용범위 결정</em>
                    <div><img src="https://ksa.or.kr/sites/ksa_kr/images/renewal/cert/iso_21001_step1.png" alt=""></div>
                    <ul class="list_style2">
                      <li>주무부서 결정</li>
                      <li>인증대상 조직 결정</li>
                    </ul>
                  </li> 
                  <li>
                    <strong>STEP 02</strong>
                    <em>현황분석</em>
                    <div><img src="https://ksa.or.kr/sites/ksa_kr/images/renewal/cert/iso_21001_step2.png" alt=""></div>
                    <ul class="list_style2"> 
                      <li>자료수집</li>
                      <li>인증기준(표준)과 갭 분석</li>
                      <li>조직상황의 이해</li>
                    </ul>
                  </li>
                  <li>
                    <strong>STEP 03</strong>
                    <em>이해관계자 파악</em>
                    <div><img src="https://ksa.or.kr/sites/ksa_kr/images/renewal/cert/iso_21001_step4.png" alt=""></div>
                    <ul class="list_style2">
                      <li>이해관계자의 니즈와<br>기대사항 분석</li>
                    </ul>
                  </li>
                  <li>
                    <strong>STEP 04</strong>
                    <em>경영 방침 수립</em>
                    <div><img src="https://ksa.or.kr/sites/ksa_kr/images/renewal/cert/iso_21001_step5.png" alt=""></div>
                    <ul class="list_style2">
                      <li>정보보안/개인정보보안 목표를 고려</li>
                      <li>임직원 및 이해관계자에게 홍보</li>
                    </ul>
                  </li>
                  <li>
                    <strong>STEP 05</strong>
                    <em style="line-height: 1.2;">정보보안/개인정보보안<br>경영계획 수립</em>
                    <div><img src="https://ksa.or.kr/sites/ksa_kr/images/renewal/cert/iso_21001_step7.png" alt=""></div>
                    <ul class="list_style2">
                      <li>통제항목 별 대응계획 수립</li>
                      <li>법적 요구사항 결정 및 반영</li>
                      <li>위험요인 파악 및 리스크 평가</li>
                      <li>정보보안/개인정보보안 경영시스템<br>프로세스 구현(문서화)</li>
                    </ul>
                  </li>
                  <li>
                    <strong>STEP 06</strong>
                    <em>목표 달성 기획</em>
                    <div><img src="https://ksa.or.kr/sites/ksa_kr/images/renewal/cert/iso_21001_step3.png" alt=""></div>
                    <ul class="list_style2">
                      <li>달성대상(각종 성과지표)</li>
                      <li>필요인력 및 자원</li>
                      <li>책임자</li>
                      <li>추진 방법/시기 등</li>
                    </ul>
                  </li>
                  <li>
                    <strong>STEP 07</strong>
                    <em>운용</em>
                    <div><img src="https://ksa.or.kr/sites/ksa_kr/images/renewal/cert/iso_21001_step9.png" alt=""></div>
                    <ul class="list_style2">
                      <li>정보보안/개인정보보안<br>경영계획 실행</li>
                      <li>세부 프로세스 및 운용<br>전반의 문서화</li>
                      <li>내부심사원 양성</li>
                      <li>성과지표별 모니터링 및 성과관리</li>
                    </ul>
                  </li>
                  <li>
                    <strong>STEP 08</strong>
                    <em>성과평가 및 개선</em>
                    <div><img src="https://ksa.or.kr/sites/ksa_kr/images/renewal/cert/iso_21001_step10.png" alt=""></div>
                    <ul class="list_style2">
                      <li>정보보안 목표(KPI) 평가,<br>법적 요구사항 준수 평가</li>
                      <li>내부심사</li>
                      <li>경영검토 및 시정조치</li>
                    </ul>
                  </li>
                  <li>
                    <strong>STEP 09</strong>
                    <em>인증 획득 및 유지</em>
                    <div><img src="https://ksa.or.kr/sites/ksa_kr/images/renewal/cert/iso_21001_step7.png" alt=""></div>
                    <ul class="list_style2">
                      <li>인증신청 및 계약</li>
                      <li>현장심사</li>
                      <li>3년 유효기간 동안, 매년<br>정기심사 실시</li>
                    </ul>
                  </li>  
                </ul>
              </div>
            </div>
        </div>
      </div>