로그인 회원가입
보건의료 정보보안 경영시스템

ISO 27799 · 보건의료 정보보안

ISO 인증 상담 요청
인증이란? 도입배경 표준의 목적 시스템의 구조 표준의 주요내용 인증취득의 효과 품질 사례(요약) 규격 요구사항 수립 및 인증취득 절차 FAQ

ISO 27799 인증이란?

ISO 27799(보건의료 정보보안)는 ISO/IEC 27002 통제를 의료 환경에 맞게 해석·적용하도록 돕는 지침입니다. 의료정보의 기밀성·무결성·가용성을 강화하는 데 초점이 있습니다.

01

핵심 포인트

이 표준은 “정책→운영→성과→개선” 흐름으로 관리체계를 요구합니다. 심사에서는 문서 존재보다 “실제로 운영되고 있는지”가 핵심입니다.

  • “현장 운영(Records)”을 남길 수 있는 프로세스 설계가 중요합니다.
  • 업무 단위로 역할·책임·승인을 정의하면 유지·확산이 쉬워집니다.
02

적용 범위

조직의 업무·사업장·서비스 범위와 이해관계자(고객/규제/협력사 등)를 정의하고, 범위 내 프로세스에 요구사항을 연결합니다.

  • “현장 운영(Records)”을 남길 수 있는 프로세스 설계가 중요합니다.
  • 업무 단위로 역할·책임·승인을 정의하면 유지·확산이 쉬워집니다.
03

준비 자료

정책/목표, 역할·책임, 절차서/기록, 지표(성과), 내부심사·경영검토 체계를 기본으로 준비합니다.

  • “현장 운영(Records)”을 남길 수 있는 프로세스 설계가 중요합니다.
  • 업무 단위로 역할·책임·승인을 정의하면 유지·확산이 쉬워집니다.

도입배경

의료 데이터는 민감도가 매우 높고 EMR/의료기기/협력사 등 접점이 많아 침해사고 영향이 큽니다.

의료정보 보호
현황에 맞게 기준·절차·책임을 정하고 운영/기록으로 관리합니다.
접근통제
현황에 맞게 기준·절차·책임을 정하고 운영/기록으로 관리합니다.
기록/추적성
현황에 맞게 기준·절차·책임을 정하고 운영/기록으로 관리합니다.
운영관리
현황에 맞게 기준·절차·책임을 정하고 운영/기록으로 관리합니다.

표준의 목적

의료 환경 특성을 반영한 보안 통제를 적용해 환자정보 보호와 임상업무 연속성을 확보하는 것이 목적입니다.

01
일관성

누가 수행해도 같은 기준으로 처리되도록 프로세스를 표준화합니다.

02
예방

리스크를 사전에 관리해 문제/사고를 줄입니다.

03
투명성

역할·책임·지표를 명확히 해 실행력을 높입니다.

04
개선

점검·측정·검토를 통해 성과를 지속적으로 개선합니다.

  • 조직 목표와 프로세스를 연결해 “일관된 운영”을 확보합니다.
  • 성과(지표)를 측정하고, 개선활동을 루틴으로 만듭니다.
  • 이해관계자 신뢰(고객/규제/사회)를 높입니다.

시스템의 구조

ISMS 통제를 의료 프로세스(진료·검사·처방·청구)와 의료기기/시스템에 매핑해 운영합니다.

P · Plan(계획)

범위·리스크·목표·계획을 정의합니다.

  • 범위(스코프)·프로세스·책임/권한을 명확히 정의
  • 리스크/기회 및 법규/요구사항을 식별하고 반영
  • 목표(KPI)·측정 기준·달성 일정(로드맵) 설정
  • 필수 문서/기록 체계(양식, 보관, 승인) 설계
  • 외부 이해관계자(고객/협력사) 요구사항 정리
  • 정책/목표와 현장 운영이 분리되지 않도록 설계합니다.
  • 데이터(지표) 기반으로 의사결정이 가능해집니다.

D · Do(실행)

프로세스를 실행하고 기록합니다.

  • 역할별 업무 수행 기준과 절차를 현장에 적용
  • 교육/역량 관리로 담당자 편차를 최소화
  • 변경관리·외주/협력사 관리 기준을 운영에 반영
  • 기록(증빙)을 남겨 ‘했다’가 아니라 ‘증명’ 가능하게
  • 불일치/부적합 발생 시 즉시 조치·기록
  • 정책/목표와 현장 운영이 분리되지 않도록 설계합니다.
  • 데이터(지표) 기반으로 의사결정이 가능해집니다.

C · Check(점검)

모니터링/측정, 내부심사로 운영 상태를 확인합니다.

  • 모니터링/측정(지표, 점검, 고객피드백) 수행
  • 내부심사로 요구사항 충족 여부와 운영 미흡을 점검
  • 부적합/불만/사고 데이터 분석 및 재발 패턴 확인
  • 경영검토로 목표 달성도·자원·리스크를 리뷰
  • 개선 과제의 우선순위와 책임/기한 확정
  • 정책/목표와 현장 운영이 분리되지 않도록 설계합니다.
  • 데이터(지표) 기반으로 의사결정이 가능해집니다.

A · Act(개선)

부적합/시정조치와 개선 과제를 실행합니다.

  • 원인 분석(5Why 등) 후 시정조치 계획 수립/실행
  • 개선 결과를 절차서/양식/교육에 반영
  • 변경관리로 영향도 평가 및 재발 방지 체계화
  • 성과를 지표로 확인하고 다음 주기 계획에 반영
  • 조직 변화(인사/라인 변경)에도 유지되도록 표준화
  • 정책/목표와 현장 운영이 분리되지 않도록 설계합니다.
  • 데이터(지표) 기반으로 의사결정이 가능해집니다.

표준의 주요내용

표준은 “무엇을 해야 하는지”보다 “어떻게 관리할지”에 초점을 둡니다. 조직 상황에 맞는 프로세스를 만들고, 실행/점검/개선이 실제로 돌아가도록 기록을 남깁니다.

01

의료정보 보호

현황에 맞게 기준·절차·책임을 정하고 운영/기록으로 관리합니다.

02

접근통제

현황에 맞게 기준·절차·책임을 정하고 운영/기록으로 관리합니다.

03

기록/추적성

현황에 맞게 기준·절차·책임을 정하고 운영/기록으로 관리합니다.

04

문서체계(규정/절차/양식)

업무 기준을 문서화해 일관된 실행을 가능하게 합니다.

05

역량/교육·의사소통

구성원이 이해하고 수행할 수 있도록 교육·소통을 운영합니다.

06

성과평가 및 개선

지표, 내부심사, 경영검토로 성과를 확인하고 개선합니다.

준비 자료 체크리스트
  • 범위 정의서(스코프) · 프로세스 맵
  • 정책/목표 · KPI/지표 체계
  • 규정/절차/양식 · 기록 관리 기준
  • 리스크 평가/처리 계획(표준별로 범위 상이)
  • 내부심사 보고서 · 경영검토 회의록
  • 부적합/시정조치 · 개선 과제 리스트
심사에서 자주 보는 포인트
  • 스코프가 실제 사업/서비스와 일치하는가
  • 주요 프로세스가 문서와 실제 운영이 일치하는가
  • 리스크/기회가 식별되고 통제되고 있는가
  • 기록(증거)이 일관되게 남고 관리되는가
  • 내부심사·경영검토가 “형식”이 아닌 개선으로 연결되는가

인증취득의 효과

인증은 ‘마크’가 아니라, 조직 운영의 신뢰를 보여주는 도구입니다. 대외 신뢰와 내부 효율을 동시에 개선하는 구조를 목표로 합니다.

대외 신뢰

거래처/입찰/RFP 요구 대응을 체계화합니다.

업무 안정화

표준화로 인수인계·품질·속도를 안정화합니다.

리스크 예방

사고/클레임/보안사건 등 리스크를 예방 중심으로 전환합니다.

지속적 개선

점검·리뷰 기반의 개선 습관이 자리잡습니다.

  • 재작업/오류 감소로 리드타임과 비용을 줄입니다.
  • 역할과 책임이 명확해져 실행력이 높아집니다.
  • 데이터 기반으로 개선 우선순위를 정할 수 있습니다.

ISO 27799 · 보건의료 정보보안 사례(요약)

비슷한 상황의 조직에서 자주 나오는 이슈를 기준으로, 적용 흐름을 한 번에 이해할 수 있게 요약했습니다.

문제

ISO 27799 도입 전 자주 겪는 상황

  • 업무 표준이 개인 역량에 의존해 결과 편차가 커짐
  • 고객/심사 대응이 담당자 경험에 따라 달라 재작업이 발생
  • 기록/증빙이 분산되어 추적·인수인계가 어려움
접근

핵심을 잡는 실행 순서

  • 스코프·프로세스 정의 → 핵심 문서/기록 체계 정리
  • 현장 적용 가능한 절차서/양식으로 단순화
  • 내부심사·경영검토 루틴을 운영 캘린더에 고정
결과

짧은 기간에 체감되는 변화

  • 요구사항 대비 갭이 명확해져 개선 과제가 우선순위로 정리
  • 심사 대응 속도가 빨라지고 재작업이 감소
  • 운영 지표를 기준으로 개선이 반복되는 구조가 됨
정착

운영 루틴으로 굳히는 방법

  • 월간/분기 점검(내부심사·경영검토)을 주기로 정착
  • 지표(KPI)로 성과를 모니터링하고 개선 과제를 지속 업데이트
  • 변경관리/교육을 루틴화해 신규 인력/조직 변경에도 흔들리지 않게 운영

규격 요구사항

요구사항은 고수준 구조(HLS)를 바탕으로 범위/리더십/기획/지원/운영/성과평가/개선으로 구성됩니다.

4 조직상황

ISO 27799(보건의료 정보보안) 적용 범위(스코프)를 명확히 하고, 이해관계자 요구(고객·규제·협력사)를 보건의료 정보보안 운영 기준에 반영합니다.

  • 범위(사업장/서비스/제품)와 제외사항을 문서화
  • 내·외부 이슈/이해관계자 요구사항 목록화
  • 의료 데이터 관련 리스크/기회가 어디에서 발생하는지 식별
5 리더십

최고경영자가 방침과 목표를 승인하고, 보건의료 정보보안 운영에 필요한 역할·책임·권한을 부여합니다.

  • 보건의료 정보보안 방침/목표를 조직 목표와 정렬
  • 책임자/조직(위원회 등)과 보고 체계 정의
  • 필요 자원(인력/예산/도구)을 확보
6 기획

리스크 기반으로 목표를 설정하고, 접근통제/진료기록 보호 관점의 실행 계획과 변경관리를 수립합니다.

  • 리스크·기회 평가(우선순위/통제계획)
  • 측정 가능한 목표·지표(KPI) 설정
  • 변경관리(프로세스/시스템/외주) 기준 마련
7 지원

역량·교육, 문서화 정보, 커뮤니케이션, 필요한 도구/인프라를 마련해 보건의료 정보보안 운영을 뒷받침합니다.

  • 직무별 역량/교육 계획과 이수 기록
  • 절차·양식·기록(문서화 정보) 관리
  • 내부/외부 커뮤니케이션(고객/협력사 포함) 체계
8 운영

핵심 프로세스를 운영 기준에 따라 실행하고, 진료기록 보호 중심으로 통제·기록·검증을 수행합니다.

  • 프로세스 기준서(표준/절차) 운영
  • 외주/협력사 관리 및 공급망 통제
  • 비상상황/사고 대응 절차와 훈련
9 성과평가

지표로 운영 성과를 모니터링하고 내부심사/경영검토로 보건의료 정보보안 성숙도를 점검합니다.

  • 지표 대시보드/정기 보고
  • 내부심사(프로세스·기록·현장 일치성 확인)
  • 경영검토(의사결정/자원/개선 승인)
10 개선

부적합을 원인 기반으로 시정하고, 개선 과제를 관리해 보건의료 정보보안 성과를 지속적으로 높입니다.

  • 부적합/시정조치(CAPA) 관리
  • 재발방지(원인분석/효과 확인)
  • 개선 과제(우선순위/책임/기한) 운영
08 업무 기반 접근통제

직무·진료 관계에 따라 최소권한과 승인 체계를 설계합니다.

09 의료기기/시스템 보안

네트워크 분리, 패치/변경관리 정책을 운영합니다.

10 가용성/연속성

백업·복구, 장애 대응, 중요 시스템 연속성을 강화합니다.

※ 적용 범위/규제/업종에 따라 세부 통제(절차·기록) 깊이는 달라질 수 있습니다.

수립 및 인증취득 절차

자산(EMR/의료기기) 목록화 → 권한 설계 → 로그/모니터링 구축 → 위탁관리 → 백업/복구·훈련 → 내부점검 후 심사

01

사전 진단(갭 분석)

현재 운영(문서·현장·기록)을 점검하고 의료 데이터 중심의 갭을 도출합니다.

  • 현장 흐름부터 — 프로세스(업무 흐름) → 기록(증빙) → 지표(성과) 순으로 설계하면 빠르게 안정화됩니다.
  • 심사 관점으로 점검 — 요구사항별 “증빙(Records)”을 미리 매칭해두면 부적합을 줄일 수 있습니다.
  • 운영 1~2사이클 — 최소 1회 내부심사·경영검토 사이클을 돌린 후 심사에 들어가는 것이 안전합니다.
우리 조직에 맞는 스코프/기간/우선순위를 빠르게 잡고 싶다면
표준 선택 → 스코프 정의 → 갭 분석 → 실행 계획까지 한 번에 정리해드립니다.
상담 요청

FAQ

자주 묻는 질문을 표준 특성에 맞게 정리했습니다.

27799가 단독 인증인가요?
기관/인증기관에 따라 적용 방식이 다를 수 있습니다. 보통 27001/27701과 함께 의료 특화 통제로 활용됩니다.
의료기기 보안이 어렵습니다.
분리(네트워크), 모니터링, 변경관리부터 시작하는 것이 현실적입니다.
원격진료/클라우드도 포함되나요?
범위에 포함 가능합니다. 접속통제·암호화·로그가 중요해집니다.
내부자 오남용은 어떻게 줄이나요?
접근기록, 이상징후 모니터링, 정기 권한검토로 줄입니다.
업무 연속성은 어떻게 보나요?
백업/복구 테스트, 장애 대응 훈련 기록이 핵심 증빙입니다.