미국보건복지부(HHS) 중소의료서비스 제공자를 위한 HIPAA 보안위험평가(SRA) 도구 발표

개요

• 미국 보건복지부(HHS)는 중소 규모 의료서비스 제공자가 조직의 HIPAA 위험 평가를 수행 할 수 있도록 
  지원하는 보안위험평가도구를 개발하여 발표
  ※ HHS(U.S. Department of Health and Human Services) : 미국 보건복지부
  ※ HIPAA(Health Insurance Portability and Accountability Act) : ‘건강보험 이전과 책임에 관한 법'으로 
     이용자의 의료정보를 열람 및 수령할 수 있는 사람에 대한 규정을 명시한 연방법

주요내용

• HIPAA 보안 규칙(164.308 (a) (1) (ⅱ) (A))에서는 HIPAA 법안의 대상이 되는 모든 의료서비스 제공자들은
  보호해야할 전자 건강정보의 잠재적 위험과 취약성에 대해 철저하고 정확한 위험평가를 수행하도록 함
• 보안위험평가도구(the Security Risk Assessment Tool, SRA Tool)는 의료서비스 제공자가 위험과 취약성을
  평가하고 HIPAA 보안 규칙을 준수할 수 있도록 설계됨
  - 중소규모의 의료서비스 제공자 대상으로 하고 있으며 중소의료서비스 제공자가 위험평가를 수행하고 
    문서화하는 기능을 지원
  - 보안위험평가도구을 통해 HIPAA 보안규칙을 준수하고 의료서비스 수행에 있어 개인정보를 보호하고 
    보안을 향상시키는 것을 목적으로 함
• 보안위험평가도구는 HIPPA 보안규칙을 구현하고 검토를 지원하는데 사용할 수 있는 소프트웨어 응용
  프로그램으로, 데스크탑과 노트북을 위한 윈도우7 OS를 포함하여 iPad를 위한 애플의 iOS 환경에서 사용할 
  수 있도록 개발됨
• 보안위험평가도구는 HIPPA 보안규칙에서 요구하는 보안사항인 기본 보안방법, 보안 실패, 위험관리, 인적
  보안을 해결함
  - 기본 보안 방법에는 접근통제, 백업, 복구, 기술적 물리적 보안을 포함
  - 위험관리에는 정기적인 검토 및 평가 기능과 지속적인 모니터링 등의 일반 기능 포함
  - 인적보안에서는 직원 상태 뿐만아니라 정보의 접근에 관련한 기능도 포함
• 보안위험평가도구의 질문지는 다음을 참고로 하여 개발됨
  - HIPAA 보안규칙 
  - National Institute of Standards and Technology(NIST) SP 800-6
  - NIST SP 800-53 
  - NIST SP 800-53A 
  - HITECH(Health Information Technology for Economic and Clinical Health) : 건강정보기술법안
• 위험 평가의 목적은 보호 되어야 하는 전자 건강정보가 권한 없이 자료 공개(기밀성), 부적절한 정보수정
  (무결성), 필요할 때 사용이 불가(가용성) 여부에 대하여 확인하는 것으로
  - 보안위험평가도구는 질문에 대한 답변을 통해 의료서비스 제공자가 전자 건강정보를 보호하기 위해 
    보안 통제를 구현하거나 기존의 구현된 통제를 개선하는 것을 도움

< SRA 도구 화면 >

• 미국 보건복지부는 보안위험평가도구의 개선을 위해 사용자에게 도구에 대한 의견(피드백)을 2014년 6월
  2일까지 홈페이지에서 접수

[출처]
1. http://www.lexology.com/library/detail.aspx?g=bde644f3-ac8d-47be-b382-de647463467b
2. http://www.hhs.gov/news/press/2014pres/03/20140328a.html
3. Security Risk Assessment(SRA) Tool User Guide

작성 : 인프라보호단 정보보호관리팀