2023-245호 전자의무기록의 관리·보존에 필요한 시설과 장비에 관한 기준 고시 일부개정/

 

1. 개정이유

클라우드컴퓨팅서비스를 이용하여 전자의무기록을 관리하는 경우

클라우드컴퓨팅서비스가 국‧내외 보안인증 규정에 따라 인증을

받았음에도 유사‧중복 규정을 적용받고 있어 규제를 합리적으로

개선하려는 것임

 

2. 주요내용

전자의무기록의 외부 관리‧보존 규정과 동등‧이상의 효과가 있는

방법이 포괄적으로 인정될 수 있도록, 국‧내외 보안인증을 획득한

클라우드컴퓨팅 서비스를 이용하는 경우 유사‧중복 지표는 제외

하고 이중화된 네트워크, 물리적 위치의 국내 한정 요건만을 규정

하도록 개선(안 제7조 개정)

 

3. 참고사항

가. 관계법령 : 의료법

================

보건복지부고시 제2023-245호

 

전자의무기록의 관리ㆍ보존에 필요한 시설과 장비에 관한 기준

일부개정

 

전자의무기록의 관리ㆍ보존에 필요한 시설과 장비에 관한 기준

일부를 다음과 같이 개정한다.

제7조 제목 외의 부분을 제1항으로 하고, 같은 조 제1항(종전의

제목 외의 부분) 중 “별표”를 “별표 1”로 하며, 같은 조에 제2항을

다음과 같이 신설한다.

② 제1항에도 불구하고 다음 각 호의 어느 하나를 충족하는

클라우드컴퓨팅서비스를 이용하여 전자의무기록을 관리하는

자가 별표 2에 따른 조치를 하면 별표 1에 따른 조치를 한 것

으로 간주한다.

1. 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제47조에

따른 정보보호 관리체계 인증과 국제표준화기구 및 국제전기

기술위원회(ISO/IEC)의 클라우드 서비스 정보보호 관리체계

인증을 받은 서비스

2. 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」 제23조

제2항에 따른 클라우드컴퓨팅서비스의 정보보호에 관한 기준

을 충족하는 서비스

 

별표를 별표 1로 하고, 별지와 같이 변경한다.

별표 2를 별지와 같이 신설한다.

 

부 칙

 

이 고시는 공포한 날부터 시행한다.

 

[별표 1] 의료기관 외의 장소에 전자의무기록 보관시 필요한 추가적인 조치

구 분		세 부 조 치 내 용
1. 전자의무 기록의 백업 저장장비	1.1. 시스템 무중단 백업	- 전자의무기록 등의 정보를 백업할 경우, 전자의무기록 시스템을 중단 하지 않고 백업업무를 할 수 있도록 장비를 마련하여야 한다.
	1.2. 백업데이터 긴급복구	- 백업된 데이터는 필요시 신속하게 복구될 수 있도록 관련된 시스템 및 관리절차를 갖추어야 한다.
	1.3. 백업데이터 위․변조 방지	- 백업된 데이터의 위․변조 및 비정상 적으로 삭제되지 않도록 백업데이터 의 보호조치를 하여야 한다.
	1.4. 백업설비의 물리적 분리	- 백업을 위한 장비 및 시스템은 전자 의무기록 시스템을 위한 장비 및 설비와 분리하여 운영되어야 한다.
2. 네트워크 보안에 관한 시설과 장비	2.1. 이중화된 네트워크의 구성	- 의료데이터 전송을 위한 이중화된 네트워크를 구성하여야 하며 아래 조건을 충족하여야 한다. ․물리적 또는 그에 준하는(논리적 포함) 둘 이상의 회선 분리 ․둘 이상의 경로를 제공하는 내부망 구성 ․라우터의 이중화 구성 ․장애발생 시에도 지속적인 서비스 제공 대책 수립
	2.2. 네트워크 보호시스템 운영	- 침입차단시스템, 침입탐지시스템 등 인증된 정보보호시스템을 운영 하여 내․외부 네트워크를 보호하여 야 한다.
3. 전자의무 기록 시스템 보안 에 관한 시설과 장비	3.1. 인증된 정보보호․보안 제품의 사용	- 국가정보원장이 인증 필요성을 인정하는 정보보호시스템의 경우 CC 인증 제품 등 도입요건을 만족한 제품을 사용하여야 한다.
	3.2. 데이터 및 소프트웨어 의 무결성 보장 및 암호화	- 전자의무기록 및 소프트웨어의 무결성을 확인하여야 하며, 데이터 처리에 대한 위변조 방지 등 보호 기능을 제공하여야 한다. - 전자의무기록 시스템 운영을 통해 관리되고 있는 중요정보에 대해 암호화하여야 한다.
	3.3. 접근통제 강화를 위한 시스템의 구성 등	- 안전성 및 신뢰성 향상을 위해 필요한 외주개발 보안, 시스템 주기적 모니터링, 시각 동기화 등 기술적 보호조치를 위한 시스템 (장비)을 구성하여야 한다. - 비인가자의 접근을 통제할 수 있도록 접근통제 영역 및 범위, 접근통제 규칙, 방법 등을 포함 하여 접근통제 정책을 별도 수립 하여야 한다.
	3.4. 데이터 관리방안 수립 및 모니터링	- 데이터 무결성을 보장하기 위한 보호조치 및 데이터변경에 대한 관리방안을 마련하고, 모니터링 하여야 한다. - 데이터 훼손․유출이 발생한 경우, 이를 즉시 의료기관에 통보하여야 한다.
4. 전자의무 기록 보존장소 에 대한 물리적 접근방지 시설과 장비	4.1. 출입통제 구역의 설치	- 전자의무기록 시스템이 위치한 공간의 출입통제가 가능해야 한다. - 전자의무기록 시스템이 위치한 보호구역내에서의 작업 절차를 수립하고 작업에 대한 기록을 주기적으로 검토하여야 한다.
	4.2. 출입 통제 및 현황정보 모니터링	- 출입통제 및 이력관리 시스템을 갖추어 출입자(권한)별 감사기록을 생성, 저장하여야 하며, 출입통제 시스템에 대한 접근통제 및 암호화 기능을 갖추어야 한다.
	4.3. 물리적 위치의 한정	- 전자의무기록 시스템 및 그 백업 장비의 물리적 위치는 국내로 한정한다.
5. 전자의무 기록 시스템을 실시간으로 점검할 수 있는 시설과 장비	5.1. 전자의무 기록 시스템 실시간 점검	- 전자의무기록시스템의 전산자원 (H/W) 및 소프트웨어(프로그램)의 동작여부와 상태를 점검할 수 있는 장비를 갖추어, 이상이 발생한 경우 이를 기록하여 관리자에게 알려 주어야 한다.
	5.2. 네트워크 시스템 모니터링	- 스위치․라우터 등 네트워크 장비 에서 발생하는 트래픽을 기록하고 실시간으로 네트워크 상태를 점검 할 수 있어야 한다.
6. 예비 장비	6.1. 보조 시스템 운영	- 전자의무기록 시스템 장애 시 안정적인 서비스 제공을 보장할 수 있도록 보조서버가 작동․운영될 수 있어야 한다.
7. 폐쇄회로 텔레비전 등의 감시 장비	7.1. CCTV 설치운영	- 전자의무기록 관리시설은 사각 지대 없이 24시간 CCTV 실시간 촬영(월단위 백업)이 되어야 한다. - CCTV 시스템에 대한 접근통제 정책을 마련하여야 한다.
	7.2. 외부 침임감지 장치 설비 운영	- 아래 조건을 충족하는 침입감지 장치를 설치 운영하여야 한다. ․침입감지시 관리자에게 신속히 알리는 기능 ․침입감지, 경보장치와 연결된 침입 발생위치 확인 기능
	7.3. 출입현황 정보의 확인	- 출입통제장치로부터 출입현황 정보를 확인할 수 있는 장비를 갖추어야 한다. - 정당한 관리자만이 감사기록을 조회하고, 감사기록을 백업한다.
8. 재해예방 시설	8.1. 화재경보 장치	- 화재발생에 대비하여 연기감지 장치, 온도감지장치 등의 설비를 갖추어야 한다.
	8.2. 소화장치	- 소규모 및 대규모 화재에 대비 한 소화장치를 구비하되, 시스템 에 악영향을 미치지 않는 소화 약제를 사용하여, 시스템의 오작동 에 대처하여야 한다.
	8.3. 수재 예방설비	- 시스템 및 네트워크설비 등이 물에 노출되지 않도록 바닥으로부터 이격하여 설치하고 콘센트 등 전원접속장치는 바닥으로부터 이격 하여 설치하여야 한다.
	8.4. 전원 공급시설	- 정전발생시 지속적인 업무의 수행이 가능하도록 추가연료보충 없이 2시간 이상 발전할 수 있는 자가발전설비, 30분이상 전원을 공급해 줄 수 있는 무정전 전원공급장치(UPS) 설비를 갖추어야 한다.
	8.5. 온도 및 습도 유지	- 온도 및 습도를 일정하게 유지하기 위한 항온․항습장비를 갖추어 시스템 의 오작동에 대비할 수 있어야 한다.