Diagnosis and testing information and medical record include sensitive personal information that reveals some of the most intimate aspects of an individual's life. These data are important because health care information can influence decisions about an individual's access to credit, admission to educational institutions, and his or her ability to secure employment and obtain insurance.
Research objectives for network security of hospital information systems are as following. (1) Risk analysis for network security of hospital information system. (2) Establishing of secure hospital information system network through risk management. (3) Embodiment of countermeasures for secure hospital information system network. This thesis analyzes secure hospital information system network management for computerized medical information and individual privacy using CRAMM S/W.
Processing of Risk Management classified risk analysis and risk management [Tompkins, 1995 etc.]. Traditionally, information security has been considered to have three fundamental objectives, that is, confidentiality, integrity, availability.
In order to maintain secure Hospital Information System(HIS) Network, the research model constructed, as a security requirement, object of risk, assessment of risk factor, measurement of risk, establishment of countermeasure, network security management, finally secure HIS network.
As regards situation of HIS security, investigated thirteen domestic hospital. The data used in this research were objected by using the mail survey technique. Concern of information system security and control is very high. Object of CRAMM case study is two Hospital.
Countermeasure of network security studied through tool of risk analysis, CRAMM. This thesis suggested countermeasures of minimization for impact from threat of computerized medical information, using CRAMM (Risk analysis software).
개인의 의료 진료 및 검사에 관련된 의료 정보는 사생활의 사소한 면까지 비밀을 들추어낼 수 있는 민감한 정보이다. 이러한 의료 정보는 개인의 신용이나 학교 입학, 취업과 사회생활 그리고 보험 가입 등에 치명적인 영향을 줄 수 있기 때문이다 .본 논문의 연구 목적은 첫째로, 병원 정보 시스템의 네트웍 보안 관리를 위한 위험 분석을 하고 둘째로, 위험 분석에 따른 위험 관리를 통하여 안전한 병원 정보 시스템의 네트웍 보안을 구축하며 셋째로는, 병원 정보 시스템의 네트웍 보안 관리를 위한 대책의 구현이다.
본 논문은 CRAMM(Center Computer and Telecommunications Agency's Risk Analysis and Management Method) Software를 사용하여 병원 정보 시스템의 네트웍 보안 관리 대책을 분석하였다. CRAMM Software는 연구 대상의 전반적인 위험 분석 및 위험 관리를 하는 도구이다. CRAMM은 대상 시스템의 보안 문제의 어떠한 환경 변화가 발생하여도 빠르게 보안 관리에 대처할 수 있는 자동화된 도구이다. 위험 관리의 절차는 크게 위험 분석과 위험 관리로 분류된다[톰킨스, 1995]. 위험 분석은 위험에 대한 측정의 정의와 평가이다. 위험은 자산의 가치를 평가하고, 위험과 취약성의 수준을 평가하는 것으로부터 측정된다. 위험 관리는 평가된 위험에 적절한 대책을 적용하는 것이다.
정보 보안은 기밀성, 무결성, 가용성의 세 가지 기본적인 목적을 갖는다.
안전한 병원 정보 시스템의 네트웍 보안 관리를 유지하기 위한 연구 모델은 먼저 정보 보안의 목적인 기밀성, 무결성, 가용성에 관련된 요구 사항을 분석하고, 위험의 대상, 즉 위험과 관련되는 대상 즉, 자산, 위험, 취약성을 정의하고, 그 위험 요소를 평가하고 측정한다. 그리고 그 보안 위험의 대책을 설정하여 네트웍 보안 관리를 하여 안전한 병원 정보 시스템 네트웍을 구축하는 것이다.
병원 정보 시스템 보안의 현황과 관련하여 국내의 3차 의료기관 중 13개 병원의 보안 현황을 조사하였다. 조사 방법으로는 병원 정보 시스템 보안 대책에 관한 설문지를 우편 조사로 실시하였다. 병원 정보 시스템에서 정보 보안 및 통제 상태가 미흡함에 따른 정보 보안 및 통제 관심이 컸다. 정보 보안과 관련하여 기밀성, 무결성, 가용성이 위배될 가능성은 적다고 보았으나 위배되었을 때의 영향은 실로 클 것이라고 하였다. 그리고 정보의 절취, 중단, 변조, 위조 위험이 위배될 가능성도 적다고 보았으나 위배되었을 때의 영향은 역시 클 것이라고 하였다.
설문에 답한 3차 의료기관 중 중점적으로 2개 병원을 방문, 인터뷰하여 CRAMM을 이용, 병원 정보 시스템의 네트웍 보안 대책을 연구하여 의료 정보의 위험으로부터의 영향을 최소화할 수 있는 대책을 제안하였다.