본문으로 바로가기 주메뉴 바로가기
본문시작

알림마당

안전하고 체계적인 환자정보 관리를 위해 노력하겠습니다.

S014 클라우드 서비스 사용 보안인증에 관한 질문
  • 작성자 조**
  • 기관명
  • 작성일시2020/09/30 11:05
  • 분류인증기준


안녕하세요? 지난 EMR인증제에 대한 설명회에서 아래와 같은 질의응답이 있었습니다. (. 인증기준 관련 질의응답)



해당 질문에 대한 답변에 대해서 아래과 같이 문의를 드립니다. 확인을 부탁드립니다.



 



1)     
1. 답변에서 민간 의료기관을 대상으로 하는 클라우드 인증을 CSAP 대체하는 사항은 유관기관과 협의검토 중에 있다”라고 하셨는데 해당 내용에 대한 검토 결과는 언제 있을런지요?



 



2)     
2. 또한, “유관기관 협의 기간 동안 한시적으로, 민간 의료기관을 대상으로하는 클라우드 서비스(IaaS) 제공하는 사업자의 경우는 관련 법에 따라 인증심사를 받을 있다라고 하셨는데, 문구는 유관기관 협의 기간 동안 한시적으로 CSAP 없는 클라우드 서비스(IaaS) 사용할 경우에도 EMR인증를 받을 있다는 의미인지요?



 



3)     
3. 만약,
2.의 질의가 맞다면, 한시적 기간동안 CSAP가 없는 클라우드 서비스(IaaS) EMR인증을 받은
민간병원은 추후 검토 결과와 상관없이 지속적으로 인증취득이 유효한 것이 되는지요
?



예컨대, 추후 검토결과가 민간병원도 CSAP가 있는 클라우드 서비스(IaaS)를 사용하여야 하는 것으로 결론 났을 경우, CSAP가 없는 클라우드 서비스(IaaS)로 취득한 EMR인증은 취소되고, CSAP가 있는 클라우드
서비스
(IaaS) EMR인증을 다시 받아야 하는지 궁금합니다.



 



4)     
4. 그리고,
“한시적 기간”이 언제까지인지 특정해 줄 수 있을런지요?



클라우드
서비스
(IaaS)를 도입할려는 민간병원의 경우, EMR인증제가 법제화되었음에 불구하고, 상기 질의 사항이 구체화 되지 않아 많은 혼란을 겪고 있습니다. 따라서 한시적 기간을 특정해
주시고
, 이 기간 동안 EMR인증을 받은 경우, 검토 결과와 상관없이 인증을 유효하게 사용할 수 있도록 하여 사용자(민간병원 및 클라우드서비스
사업자
)의 업무 안정성과 연속성을 보호하여 주시기를 간청드립니다.





[전자의무기록시스템 인증제 온라인 설명회 질의응답내용 참고]



 



10. S014 클라우드 서비스 사용 보안 인증과 관련해 한국인터넷진흥원의 클라우드



보안 인증(CSAP) 인증을 받아야 한다고 명기하고
있는데
, CSAP인증은



국가/공공기관에 한정해 적용되는 인증으로
알고 있습니다
. 민간 병원이 신청할



경우에도 CSAP인증 조건을 반드시 충족해야
하나요
?



 



11. S014에서의 CSAP인증은 사용가능한
클라우드업체를 국내 업체만으로 한정하여



의료기관의 클라우드 선택권을 제한할 우려가 있는데 CSAP인증을 한국인터넷



진흥원의 정보보호관리체계(ISMS)인증으로 변경하거나 국제인증으로
인정을



받을
수 있는지요
?



 



·       
관련 법령*을 충족하는 클라우드 서비스를 이용하여야 하므로, 원칙적으로 전자의무기록시스템 인증을 신청하는 주체가 민간 기관이라 하더라도 해당 클라우드 서비스 제공 사업자는
CSAP 인증을 취득해야 합니다.



·       
다만, CSAP는 공공기관을 대상으로 하는 클라우드 서비스에 대한 인증으로, 민간 의료기관을 대상으로 하는 클라우드 인증을 CSAP로 대체하는 사항은 유관기관과 협의검토 중에 있습니다.



·       
유관기관 협의 기간 동안 한시적으로, 민간 의료기관을 대상으로 하는 클라우드 서비스(IaaS)를 제공하는 사업자의 경우는 관련 법령*에 따라 인증심사를 받을 수 있습니다.
또한, 민간 의료기관을 대상으로 클라우드 서비스를 하는 경우 클라우드
EMR 제품(SaaS)에 대한 인증은 ISMS(P) 또는 ISO/IEC 27001 인증을 취득했다면 일부 항목**에 대해 심사면제 가능합니다.



 



* 보건복지부 고시 「전자의무기록의 관리 보존에 필요한 시설과 장비에 관한 기준」의
[별표]



의료기관 외의 장소에 전자의무기록 보관시 필요한 추가적인 조치



** 인증기준 S001-S008, S010-S011, S013 심사면제(ISMS-P의 경우 S009 추가 심사면제)



  • 첨부파일
    전자의무기록시스템+인증제+온라인+설명회+질의응답_v1.1.pdf (439KB / 다운로드:291) 다운로드

* 접수이후로는 수정/삭제가 불가능합니다.

답변내용
  • 답변일시2020/10/14

전자의무기록시스템인증 홈페이지에 방문해주셔서 감사합니다.

 

문의하신 내용에 순차답변 드리겠습니다.

 

1. 현재 유관기관과 협의 중인 사항으로, 검토 결과는 인증관리포털을 통해 추후 공지될 예정입니다.

(구체적 일정의 명시는 어렵다는 점 양해를 부탁드립니다.)

 

2. 말씀하신 바와 같이, CSAP가 없는 클라우드 서비스(IaaS)를 사용할 경우에도 EMR인증 신청이 가능합니다.

 

3. 인증서 발급 후 유효기간 3년동안은 인증의 효력이 유지됩니다.

 

4. 해당 인증기준은 유관기관과 협의진행 후 인증기준 변경이 필요한 사안으로, 다소 시간이 소요될 수 있다는 점 거듭 양해를 부탁드립니다.

 

문의사항 있으시면 담당자(02-6263-8350)으로 연락주시기 바랍니다.

감사합니다.