個人曾經手四、五個醫療相關單位資訊網路管理

根據以往經驗，憑心論
閣下的問題很難解
尤其是主事者是沒遠見又沒擔當的怕事者

經驗之一
客戶(病患)資料整批出現在中國某網站供人下載
業主經朋友"提醒"才乖乖花錢改善
直接換一家維護廠商，一切就當沒發生過 - 不承認，一切賴給前一家維護廠商。

經驗之二
某醫療公會會員資料整批外洩。
同樣"視"若無睹，反而找藉口把善意提醒的"告密者"換掉 <- 這實在很糟糕
事後一切"蓋"的很完美，就像完全沒發生任何事

勸你慎重行事，不要讓你的責任感與善意害自己丟了工作又揹黑鍋。

資安不一定要靠防火牆
做好資料加密也是可以的

ADSL後端應該有個IP分享器.
重點在後端的電腦管理, 防火牆相對來說不是最重要的.

現在醫療單位還要雲端藥例查詢
還要有ADSL醫療專線
你老闆應該覺得反正符合要求就好了
真的出事情的話..........就說那是無心之過吧
個資法上路,資料還是保全點好
不過醫療單位很少只用IP分享器,最少也來個VIGOR居易防火牆吧!

我有比較賤的幾點解決辦法：

1. 看來那個醫療事業體，並不是你的權責單位，建議你明哲保身，
   不要多管閒事惹禍上身，如果你怕良心不安，等你離職那天，
   給政府醫療主官管單位檢舉一下就好(順便說你也請媒體監督一下主管單位)。

2. 非要給老闆建議，不要用買設備的手段，不但無用還覺得你很煩，
   給老闆說要那個醫療系統的廠商簽下割地賠款的資安條款，
   既符合個資法的精神，你老闆又不用付半毛錢，肯定誇獎你，
   這時那個醫療系統的廠商肯定不幹，自然會跟你老闆據理力爭，
   你就可以隔岸觀虎鬥，廠商落敗明年肯定放手不管，沒系統可用
   老闆自然跳腳，該花的錢自然就會花了，半點不用你費力。

3. 有邦友建議防火牆相對不重要，我實在要說，最重要的就是防火牆了，
   除了想辦法要老闆自動掏錢買公司的防火牆外，你自己也要給自己買防火牆，
   不管是文字、錄音、影像都可以，就是不要搞個黑色的鍋子玩就對啦

以上小小建議啦！參考看看嘍！

我之前的做法是:
寫EMAIL給你老闆建議(可以的話附上中階主管)，並附上你的建議，順便CC一份到你的外部信箱作保留證據，等出事時，這封EMAIL就是證據，時間若再拉長一點，可以每半年再發一次，表示你有持續關注這件事~~這樣以後出事也不關你的事情

請提供你環境的網路架構

通常ADSL Router後端接 分享器後，內部IP未作Mapping實體IP，外界的IP是無法連接至內部伺服器的。

請問貴公司的醫療系統有對外開放嗎? 對外是指 除公司這棟大樓外的人員使用???

如果有，你的擔心可能是必要的

如果沒有,代表你半桶水的知識，請不要妄加判斷，提供給你公司錯誤的建議

我會說這麼重，是因為你提出此問題時，並沒有詳加說明你公司內部網路架構。

架構都沒說清楚 , 一昧的提防火牆

分享器中的NAT功能也算簡單的防火牆 , 這點你知道嗎?

有錢買websense
沒錢香多燒一點

防火牆是基本中的基本，就像房子的大門一樣，不同的只是大門的花俏程度(笑)

建議你先思考一下你們現在的電腦環境在什麼狀況下會有什麼問題(木馬?病毒?入侵?垃圾郵件?資料外洩?)
找對應的廠商來簡單規畫一下所需成本，並要他們提供相關的資安新聞(重點在於刑責與損失上)
做個簡單的比較表，有做與沒做會有什麼差別
排好優先順序與未來的擴充性，再找主管做個簡報
當然別忘記要不定期發個Mail給主管，提醒這些東西(主要是為了事發後可表明有做到告知提醒)
想要改變，沒有主管甚至更高層的支援是玩不下去的，尤其是在資安這塊【沒事沒感覺，有事痛到死】

如果你做了那麼多，上面還是麻木不仁
那就只剩兩條路了：要碼你也麻木不仁，要碼你換工作

p.s:忘了說，別忘記想想自己想不想或者有沒有時間玩資安，因為很大的可能導入後你要繼續扛著它們~~ XD

先詳細研讀個資法並標註因資料外洩罰則及刑則作成一份報告給老闆, 需含建議處理事項!
最後加註主管及老闆批核(要他們簽回), 這份報告會是你萬一出事的保命符!

小弟看來，
資料應該早就外洩了。
我們公司有專門的網管人員，
專業的高檔防火牆。
可以知道的事實是，
每天都有人在打，
只不過，大部分都打不進來。
但是，小部分仍舊可以成功的進入。
所以，我們還做了第二層保護，就是檢視系統、程式、資料的變動性。
.
貴公司，
不用猜，資料肯定早就人手一份了。
.
個資法的要求是，資料持有之組織，需要有防護之作為；當有作為而資料外洩時，始可減輕責任。
按目前來看，再看看個資法規定，
二者組合在一起，可見；
一旦發生損害，或是被公布洩密的情形，則 貴公司一定破產。
.
故，在責任上，您有義務請上層注意這現象，
但是，為保護您自己，請通知上層時，務必可留下佐證，
例如，以mail方式告知。
假裝回家後想起，於是怕上班時忘記，就先用mail通知。
當然，利用簡訊，也可以按上述方式進行。
或是，
留下證人，例如，故意在別的部門主管前面講，假裝突然想起。
又例如：
在開大會時講，
不用假裝，就直接請主席裁示。
.
再不，就先準備離職，
不然公司突然倒閉，連薪水都領不到。

分享器不重要.....
重要的是在分享器後面的人....
還有你的資料有沒有用處...

分享器與低階防火牆的界限並不明顯

該跑的建議、簽呈都要跑一下，

免得到時候被拿去擋刀，

有個文件證明說當時你有提案說要做，

是上頭沒有通過該案，

個人覺得 "人" 才是資安最大的問題...

如果決策權在你主管身上，
但是他擺明就是多一事不如少一事，
坦白說，你要改變現狀有很大的難度，
做對了，上面的老闆看到的是你主管，
做錯了，責任是你自己要承擔，

我認為你可以把你認為如何加強現有架構的規劃，
以及做與不做的利害關係找時間寫成簡單的規劃書，
然後用 Email 的方式寄給主管，做不做讓他去評估，

但是日後如果真的發生問題，上頭怪罪到你們團隊，
至少你能舉證你曾經指出這些問題，並且提出相關改善方案。