資訊規劃師

Specialization Description

【工作內容】
-維護伺服器基礎架構檢視網路安全架構，包含使用者存取權限控管與弱點掃描/修補作業，管理政策設定與維運。
-執行應用程式資安作業（AppSec），進行網站與程式碼漏洞掃描、協助滲透測試規劃、推動安全開發流程（SSDLC）。
-保障資料儲存與存取安全性，強化加密、備份、還原及權限審查等控管措施。
-部署並管理資安工具（XDR、SIEM、Vulnerability Scanner、Threat Intelligence 平台等）。
-監控系統日誌與資安事件（Log / Alert / Incident response），支援資安通報與後續調查分析。
-與開發團隊協作，於開發流程導入安全設計、資安掃描與程式碼管理政策。
-追蹤最新資安威脅趨勢，提出企業應對建議與補強機制。
-配合國際標準進行資安制度建置與內控規範撰寫，特別針對 ISO 27001、ISO 27017、ISO 27701 實務導入及稽核應對。

【擅長工具】
Vulnerability Scanner：Nessus / Qualys / OpenVAS
Web App Scanner：Acunetix / Burp Suite / OWASP ZAP
EDR/XDR 系統：Microsoft Defender for Endpoint / Cortex XDR / CrowdStrike
SIEM 工具：Microsoft Sentinel / Splunk / QRadar
Threat Intel 平台：Anomali / MISP / AbuseIPDB
Source Code Security：SonarQube / GitHub Advanced Security
AD / AAD 管理工具：Group Policy, Entra ID, Conditional Access
Log Management：Graylog / ELK Stack / Microsoft Log Analytics
作業系統維運平台：Windows Server, Ubuntu, RHEL

【工作技能】
1.熟悉 CVE / CVSS / OWASP Top 10 等漏洞與攻擊向量
2.能夠進行弱點風險分析與修補建議追蹤
3.熟悉 SIEM 設定、Log 檢索、警示規則撰寫與事件回應流程
4.熟悉資安事件等級判斷、TTPs 分析（MITRE ATT&CK）
5.具備程式碼閱讀基礎（Python / JavaScript / Shell / PowerShell 擇一）
6.能協助推動資安稽核與政策落地（文件製作 / 控制項導入）
7.了解 DevSecOps 基礎架構與 GitOps 流程者尤佳

【加分條件】
-熟悉資安稽核作業流程與不符合項目處理經驗
-有 ISO 27001 建制與內部自我檢核規劃經驗
-具備 ISO 27701 或雲端資安標準（如 ISO 27017）應用經驗
-具備程式碼審查與自動掃描工具整合經驗
-熟悉 SaaS 資安政策設定（Microsoft 365 / Azure Security）
-曾參與公司重大資安事件通報與調查者

Level Description