今日實作:用 Excel 製作風險排行
在醫院這樣的環境裡,資訊安全風險是每天都存在的。從最常見的勒索軟體,到醫護人員誤點釣魚郵件,甚至到內部人員不當存取病歷,每一個小疏忽都可能造成大規模影響。身為醫院資訊室的一員,我深刻體會到風險管理的必要性。
不過,風險管理不是憑感覺來判斷,而需要系統化的方法。其中一個實用又簡單的工具,就是利用 Excel 製作資安風險排序表。這種表格能幫助我們把「有哪些風險」和「哪些風險最嚴重」清楚地呈現出來,讓主管或醫護同仁一眼就能理解,進而投入必要的資源去處理。
製作風險排序表的基本步驟大致上有四個:
列出所有潛在風險
例如:勒索軟體攻擊、病歷外洩、釣魚郵件、伺服器當機、網路中斷、設備毀損、帳號權限濫用。
定義兩個衡量指標
這兩個維度是風險排序的核心。
建立評分標準
一般可以用 1~5 的等級:
計算風險分數
將「影響 × 可能性」得到一個分數,再依照分數高低排序,就能知道哪些是最優先處理的風險。
實際操作上,我在 Excel 裡設計的欄位通常如下:
| 風險項目 | 影響程度 (1-5) | 發生可能性 (1-5) | 總分 (Impact × Likelihood) | 排序 | 備註 |
|---|---|---|---|---|---|
| 勒索軟體攻擊 | 5 | 4 | 20 | 1 | 病歷被加密,醫療作業中斷 |
| 病歷外洩 | 5 | 3 | 15 | 2 | 病人隱私受損,信任危機 |
| 釣魚郵件 | 3 | 5 | 15 | 3 | 醫護誤點可能導致帳號外洩 |
| 網路中斷 | 4 | 3 | 12 | 4 | 掛號與檢查流程停擺 |
| 伺服器當機 | 4 | 2 | 8 | 5 | 短時間可手動補救 |
| 帳號權限濫用 | 3 | 2 | 6 | 6 | 需要定期稽核與追蹤 |
在 Excel 裡,我會利用 排序功能,依照「總分」高低自動排列,讓優先順序一目了然。
更進一步,還可以用 Excel 製作 條件格式化,更直覺易懂。
有了這樣的排序表,資訊室就能:
制定工作優先順序
如果人力有限,就先專注處理分數最高的風險。例如,先確保勒索軟體的防護與備份,而不是先去管罕見的伺服器硬體毀損。
跟主管溝通更有效率
過去常常和院方報告資安時,主管只覺得「這些東西都很重要」,但有了排序表,能清楚指出「這些風險高、必須優先投入資源」,讓資安需求更容易被理解。
持續追蹤改進
風險排序表不是一次性文件,而是需要定期更新。每半年或每年重新評估一次,才能反映新的攻擊趨勢和醫院環境的變化。
當我第一次在資訊室嘗試這樣的風險排序時,原本大家對資安威脅的感覺是模糊的,覺得「好像每件事都很嚴重」。但當我們把風險條列、量化,然後排出順序,整個部門的焦點就清楚了。
例如,以前我們可能花了很多時間在處理內部帳號濫用的疑慮,但排序表一做出來發現,真正影響最大的還是勒索軟體和釣魚攻擊。這讓我們決定把更多資源投入在加強 EDR 工具與釣魚信演練上。
從那之後,我深刻覺得:資安管理如果沒有方法,就會變成疲於奔命;而一張 Excel 表,雖然看起來簡單,卻能幫助我們理清思緒,找到最有效率的方向。
資安風險無所不在,但資源永遠有限。如何有效配置資源,是資訊室最重要的任務之一。透過 Excel 製作的風險排序表,我們能夠把複雜的威脅整理成具體的數字與排名,讓整個醫院更有方向感。
這不是一份漂亮的文件,而是一種持續管理的工具。當我們能用數據化的方式看待資安問題,就能更冷靜、更務實地做出決策,真正守護醫院的資訊安全與病人信任。
iThome鐵人賽
看影片追技術
看更多
