SharedIT | 묻고 답하기(AMP)

병원 네트워크보안/개인정보보호 관련

안녕하십니까 1인병원 전산 두달차입니다.


다름이 아니라 요번에 또 갑작스런 미션이 떨어졌습니다.

이번 주제는 보안&개인정보보호인데...
사실 지난 두달 간 pc나 서버 정리하고 알아보고 하고 있었는데

이제 개인정보보호까지 와버렸는데..
뭐가 뭔지 하나도 모르겠네요..

과장님 말씀은 개인정보보호 / pc보안 같은게 제대로 안되어있으면 나중에 검열? 같은데 걸리면 벌금도 물수 있다고 하더라구요.

일단 카테고리를 지정해주셨는데..
1.네트워크 보안 (서버 / 클라이언트)
2.PC보안
3.PC백신
4. 그외 병원내 USB 사용금지라던지.. 전산장비, 개인정보와 관련된 보호, 보안조치 등 보안관련 모든걸 알아보라고 하십니다.


일단 현황을 먼저 알아보고 어떤 조치가 추가적으로 필요한지 어떤 부분을 신경써야할지 알아봐야할것같은데..

일전에 말씀드렸던것처럼 전임자에게 전혀 인수인계를 받지 못했기때문에.. 제가 아는거라곤 라이센스가 지난것으로 추정되는 백신 하나뿐입니다. 그리고 네트워크 유지보수 업체가 봐주는 방화벽 장비 하나..



1. 먼저 다른 기업(특히 병원) 에서는 네트워크보안이나 개인정보 등을 어떻게 관리하시는지 궁금합니다.
2.제가 확인해보아야 할 부분이 어떤 것일까요..(물어보는 저도 민망하네요..)
3.모든게 제대로 갖추어지지 않은 것으로 확인되면 추후 어떤 조치들이 필요할까요? (과장님이 ADT캡스에서 준 보안관련 판플렛을 주시던데 아마 업체랑 얘기해보시고 저한테 현재 병원의 현황이 궁금하셔서 물어보신것같기도 합니다.)



항상 이 곳에서 큰 도움 받고 있어서 덕분에 일할수 있는것같습니다.ㅠㅠ 항상 감사드립니다
Tags : 태그가 없습니다.

5개의 답변이 있습니다.

EUSA
  0 추천 | 6년 이하 전
제가 생각나는대로 적어보자면...
1.네트워크 보안 (서버 / 클라이언트)
  - 망분리 (방화벽 액세스 리스트를 통해 서버에 접근하는 사용자 아이피 및 포트 제어), 백신설치, 지속적인 모니터링, 회사 규모에 따라 다르겠지만 위에분이 말씀하신대로 서버에서 인터넷 사용이 안되게 되어 있어야 합니다 (내부망 사용)
2.PC보안
  - 공유폴더 사용금지 (파일서버 외), 로그인 화면에 경고문 적용, 백신 설치, 주기적인 교육(회사 컴퓨터로 하면 안되는 것)
3.PC백신
 - 저희회사의 경우는 Symantec Endpoint Protection 쓰고 있습니다.
4. 그외 병원내 USB 사용금지라던지.. 전산장비, 개인정보와 관련된 보호, 보안조치 등 보안관련 모든걸 알아보라고 하십니다.
 - 위에 언급드린 백신 프로그램의 경우 USB 사용 금지라던지 CD 굽기 방지가 가능합니다....
 

wansoo | 6년 이하 전

개인 정보 보호법 관련해서 PC 보안이라면 PC에 저장되는 개인 정보 관리쪽이 중점인것 같더군요. 특히 병원쪽이라면 환자에 대한 정보가 PC에 방치되어 있지 않도록 관리하는게 중요하죠~
werther.chan
  0 추천 | 6년 이하 전
다른분들이 다 말씀해주신것들이라서..
우선 개인정보보호법관련 회사내 지침이 필요합니다. 필수적으로요.
그리고 개인정보를 많이 취합하는 병원이다보니 한번 적발되면 엄청난 피해를 입기때문에..
개인정보 보호에 맞춰서 준비를 다 하셔야합니다..
개인정보보호를 위해서 망분리를 하거나. 아니면 권한분리.. 문서보안.. 매체보안.. DB보안..네트워크보안장비 등등 도입을 하셔서..당장 안되어있다면 개인정보보호 지침내에 언제까지 해당 부분을 구현하겠다라고 하면 어느정도 봐준다고 한부분이 있는데.. 벌써 시행한지 오래되어서.. ㅠ.ㅠ
암튼 개인정보는 정말 준비를 잘하셔야합니다..!!!

기운내세요. 최대한 업체나 아니면 KISA를 통해서 지원을 받을 수 있는 방법을 찾아보셔야할 것 같습니다. 
backattack
  0 추천 | 6년 이하 전
개인정보보호법 준수여부를 확인한다고 간혹 단속 비스무래한 공문이 오기도 합니다 

각 규정을 보내주고 자가체크하는 정도인데 

실사까지 나오게 되면 벌금을 무는 경우도 꽤 있는것 같네요 

법규 내용이 많다보니 직접 자료를 찾아보시는게 좋을것 같고 

먼저 비용이 들지 않는 부분 (ex> 개인정보책임자 지정 등) 부터 처리하시고 

보안솔루션으로 해결해야 하는 부분들도 하나씩 챙겨나가는 수 밖에 없습니다 

 
datacenter
  0 추천 | 6년 이하 전
- 서버내 불필요한 유저는 없는지, 권한에 맞게 생성 되었는지, 계정 암호의 복잡도는 충족하는지 확인
- OS별 권장 패치들이 업그레이드가 되었는지 확인, 워너크라이 관련 패치 확인
- 서버내 백신 설치 유무, 실시간 모니터링, 최근 감염 이력, 최신 버전 업그레이드 되었는지 확인
- 서버에서 인터넷이 접속이 가능한지 확인 (차단하셔야 함)
- 방화벽 정기점검, 패치적용, Any로 생성된 예외룰 있는지도 확인
- 웹접속 관련해서 프락시 같은 보안 솔루션 있으시면, 정책 확인
- USB 및 저장장치 사용이 가능한지 확인
- 백신 실시간 검사, 최신버전이 업데이트 되었는지, 믿을만한 백신이 깔려있는지 확인
- USB/저장장치 접속 가능한지, 보안USB라던지 제어솔루션 사용하시는거 잇으시면 유저별 권한관리하셔야 하고..

이 밖에도 점검해야할 부분이 많이 있으니,
최대한 많은 정보를 취합해서 현황 관리 하시고,
고생하시고, 화이팅 하세요.ㅜㅜ
wansoo
  0 추천 | 6년 이하 전
개인 정보 보호법이 시행된지 수년이 지났죠.
벌써 몇번씩 큰 바람들이 불고 지나간 상황이고...
개인 정보 보호법은 크게 관리적, 물리적, 기술적 보호로 나눌 수 있는데, 관리적은 서류 등에 관련된 것이라 보면 되고, 물리적은 시건 장치를 잘했나, 통제 구역 처리를 잘했나 하는 등에 관련된 것이라 보면 되겠고요.
전산 직원에게 가장 중요한 부분은 기술적 보호라 생각되네요. 물론 서류 등을 잘 준비해 두는 관리적 보호 조치나 물리적 보호 조치도 잘 준비 해둬야되지만...

얼마전에 ADT캡스 정보보안 서비스라는 제목의 5장 짜리 서류를 주고 갔던데 아직 제대로 펼쳐 보지도 않았네요~ㅎㅎ
에스원에서 오래전부터 해 왔기 때문에 캡스도 에스원에 경쟁해서 하고 있나 하는 생각도 드는데...
에스원 같은 곳에서 PC쪽 보안과 네트워크 쪽 보안을 주로 취급하고 있는데, 자기들 솔루션이 아니라 모두 외주 업체들걸 가져와서 사용하고 있죠.
에스원을 보면 백신은 안랩 V3를 가져와서 VP라는 이름을 붙여서 영업하고 있고, 오피스키퍼 제품을 가져와서 PS라는 이름으로 영업하고... 
에스원 VP, PS를 사용하고 있는데, 실제 문제가 있거나 문의를 하면 에스원에서는 해 줄 수 있는게 아무것도 없더군요.
아마 캡스도 마찬가지가 아닐까 싶은데...

기술적 보호 조치를 크게 나눈다면 서버쪽 보안, 네트워크 쪽 보안, PC 쪽 보안으로 나눌 수 있을 것 같고요.
서버쪽 보안에는 DB 암호화, DB 서버 접근 제어 정도를 들 수 있을 것 같고, 네트워크쪽 보안은 방화벽, 망분리 정도를 들 수 있을 것 같고, PC 쪽 보안은 백신, 개인정보 자료 관리/암호화 등을 들 수 있을 것 같네요.
서버 DB 암호화, PC 개인정보 관리/암호화, 백신이 준비되어 있지 않다면 우선 도입하는게 좋을 것 같고요.
병원 규모상 망분리를 해야 하는 아닌것 같으니 망분리는 하지 않아도 될 것 같고요.
접근제어 솔루션, 방화벽 등에서 DB 접근 이력 (log) 관리, 네트워크 접근 이력(log) 관리 등이 잘 되고 있는지 등도 검토하고 필요하다면 장비 도입, 장비 교체 등을 진행하여야 할 것 같네요.

wansoo | 6년 이하 전

참... 가장 우선적인게 관련 서류들을 잘 만들어서 운영하고 있는지, 개인 정보 교육은 잘 하고 있는 지 등에 대한 관리적 보호 조치이고요.