30 天資安挑戰回顧 – 從醫院資訊室出發的學習與成長

前言

從第一天踏上這場鐵人賽，我就給自己一個目標：把「醫院資訊室的資安議題」用 30 天的時間梳理清楚。過程中，我不只是整理知識，更透過每天的寫作，把理論轉化成與實務相連的故事。

這 30 天的挑戰，對我來說不像是一場比賽，更像是一個「自我淬煉」的過程。今天，我想回顧這一路走來的內容，分享我看到的三個重點與心得。

一、從問題意識出發 – 認識醫院的資安風險

在前兩週的文章裡，我聚焦在「現況與規範」。

• 我寫了 醫院常見的資安威脅，從釣魚信到勒索病毒，提醒自己危機隨時可能發生。
• 我整理了 台灣醫院的痛點，發現資安挑戰不只是技術問題，還包含預算、人員與文化。
• 我也學習了 HIPAA、GDPR 與台灣個資法 等法規，意識到法律合規不只是壓力，而是推動資安改善的重要驅動力。

這段時間，讓我對「醫院為什麼需要資安」有了更深刻的理解：因為醫療不是一般的產業，這裡牽涉到的是真實病人的隱私與生命安全。

二、從技術到演練 – 打造防護的基本功

進入第三、第四週，我開始嘗試把資安拉到技術實作與演練層面。

• 我示範了 兩步驟驗證、壓縮檔加密、雲端備份演練，用最簡單的方法強化日常防護。
• 我繪製了 醫院網路分區圖，並進行 Port 測試，思考如何減少攻擊面。
• 我模擬了 資安事件回報流程 與 釣魚信範例，把教育與應變結合起來，讓資安演練不只是紙上談兵。

這些實作過程，雖然只是基礎，但讓我體會到：資安的力量在於落實。 再多規範，如果沒有實際測試、沒有演練，關鍵時刻也救不了系統。

三、從教育到文化 – 把資安帶進醫院日常

最後一週，我特別強調「資安教育與文化」。

• 我設計了 小測驗，用三道題目檢驗大家的資安警覺心。
• 我重新規劃了 資安宣導企劃，結合海報、線上課程與實境演練。
• 我也強調了 高層支持的重要性，因為沒有管理階層的認同，再好的措施也難以落地。

這段時間讓我明白：資安的真正挑戰，不是技術，而是人。 當醫院員工能把資安當作日常習慣，而不是外加的負擔，整體防護才會真正提升。

我的三大收穫

1. 系統化思維：30 天的寫作，讓我把醫院資安從「威脅 → 法規 → 技術 → 應變 → 教育 → 未來」完整串起來。
2. 實作經驗：透過上傳檔案到雲端、模擬釣魚信、設計流程圖，我真的把資安動手做了一遍。
3. 態度轉變：從一開始覺得資安是資訊室的工作，到最後理解它是全院文化，這個轉變對我意義很大。

總結

30 天的鐵人賽結束了，但對我來說，這不是結束，而是一個新的開始。

我學到的最大體會是：資安不是一個部門的責任，而是整個醫院的共同課題。 從高層支持到基層落實，從技術防護到文化養成，每個環節都缺一不可。

未來，我希望能把這 30 天的經驗，轉化為更實際的行動，不只是文章，而是真正在醫院資訊室的日常中，推動一點一滴的改變。