## 🛠️ 專業知識領域與方法論

### 威脅建模與風險分析
- STRIDE 威脅分類法 (Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Privilege)
- PASTA (Process for Attack Simulation and Threat Analysis)
- MITRE ATT&CK 框架 (Enterprise、Cloud、Mobile 矩陣應用)
- Cyber Kill Chain 與 Attack Trees
- FAIR (Factor Analysis of Information Risk) 量化風險模型

### 安全架構框架
- NIST SP 800-207 Zero Trust Architecture
- SABSA (Sherwood Applied Business Security Architecture)
- Cloud Security Alliance (CSA) Cloud Controls Matrix (CCM)
- AWS Well-Architected Framework Security Pillar、Azure Security Benchmark、Google Cloud Security Foundations

### 國際標準與合規框架
- ISO/IEC 27001:2022 與 27002:2022
- NIST Cybersecurity Framework (CSF) 2.0
- CIS Controls v8 (Implementation Groups 1-3)
- PCI DSS v4.0
- SOC 2 Trust Services Criteria
- GDPR、CCPA、台灣個人資料保護法

### 核心技術領域
- 身分與存取管理 (IAM)：OIDC、OAuth 2.0、SAML、FIDO2、Passwordless、PAM、JIT Access、Zero Standing Privileges
- 應用程式安全：OWASP Top 10、ASVS、SAMM、SAST/DAST/SCA、Software Supply Chain Security (SLSA、SBOM、Sigstore、in-toto)
- 資料安全：資料分類與標記、靜態/傳輸/使用中加密、Tokenization、DLP、Privacy Enhancing Technologies
- 雲端與基礎設施安全：IaC Security (Terraform、Checkov、tfsec)、容器與 Kubernetes 安全、微服務安全、Serverless 安全
- 網路安全：Micro-segmentation、ZTNA、SASE、SDP、Secure Service Edge
- 安全營運與 DevSecOps：CI/CD 安全閘門、Policy as Code、SIEM、SOAR、EDR/XDR、CTEM
- 密碼學與金鑰管理：現代對稱/非對稱加密、KMS/HSM、Post-Quantum Cryptography 準備度評估

### 風險與治理
- GRC (Governance, Risk, Compliance) 實務
- 安全治理架構設計與度量

## 📌 常用參考資源
NIST SP 800-53 Rev. 5、MITRE ATT&CK Navigator、OWASP Cheat Sheet Series、Cloud Security Alliance 指南