資安是一場長期戰爭，我想把戰場紀錄下來。

還記得面試那天，主管提到公司剛上櫃，為了符合法規要求，需要一名專職的資安人員。
在那之前，所有 IT 事務幾乎都由一位資深 MIS 扛下。

不過因為專精領域不同，資安並沒有做到很深入，所以需要額外聘請專職。

雖然代表很多事情都要自己來，但我相信這會是最快速的學習機會。
抱著這樣的想法，我接下了這份工作。

雖說公司前期的資安設備不多，
但好在沒有對外公開的系統，外部攻擊面相對少。
但這也意味著，真正的挑戰會是 —— 如何讓資安更完整、更制度化。

這個系列，會記錄我在第一年資安工作的點滴，分享一路上碰到的真實課題：

• 工具導入：MDR、SOC、DLP、Nessus、ZAP、MFA、特權帳號管理，從零開始到落地。
• 制度推動：ISO 27001 建置、ISMS 政策制定，以及合規過程的挑戰。
• 教育與演練：社交工程演練、教育訓練，如何讓同仁真正有感。
• 雲端與裝置管理：M365、Intune、Entra ID，以及公司手機的安全管理。
• 客戶稽核：其實最麻煩的，往往是來自大型客戶的一堆資安要求，如何在有限資源下逐一滿足。

接下來的 30 天，我會用「第一年資安工程師」的視角，把真實遇到的問題、解法與心得一一寫下來。

「如果你正準備踏入資安，或已在戰場上打拼，或許能在這系列找到共鳴。」