30. 針對遠端使用供應鏈管理系統、 資料存取、設備辨識等項目規劃零信任架構。在設計資安架 構時，「不」包含下列何項原則？
(A) 資產採購
(B) 元件關係
(C) 工作流程規劃
(D) 存取政策

概要

在 NIST SP 800-207 所定義的零信任架構（ZTA）中，其設計原則與範疇涵蓋了企業基礎設施與營運的多個面向：元件關係（Component Relationships）、工作流程規劃（Workflow Planning）與存取政策（Access Policies）等，皆為實踐零信任的核心要素 (維基百科, CISA)。相較之下，資產採購（Asset Procurement）屬於企業採購與供應鏈管理的商務決策，並不納入 ZTA 的設計原則之中，故最不適合列為零信任架構設計考量。

零信任架構中的涵蓋範疇

元件關係（Component Relationships）

零信任架構要求 細化並管理所有系統元件間的關係，確保在複雜的供應鏈與多雲環境中，任何存取請求都能依據元件屬性與關聯性進行驗證 (維基百科, CISA)。

工作流程規劃（Workflow Planning）

ZTA 強調 端到端的工作流程可見性與最小權限執行，需事先規劃並持續監控使用者或服務對資源的操作流程，以動態調整存取決策 (NIST計算機安全資源中心, LinkedIn)。

存取政策（Access Policies）

動態存取政策為零信任的核心，包含 基於身份、裝置狀態、風險評估及上下文屬性 來實施嚴格且細粒度的授權控制，並結合持續監測與自動化回應機制 (CyberArk, ISMS.online)。

最「不」適切之選項

正確答案： (A) 資產採購

參考文獻

1. “Zero trust architecture,” Wikipedia, 最後編輯於 2025 年。零信任架構涵蓋 component relationships, workflow planning, access policies 等面向。 (維基百科)

2. “Zero Trust Maturity Model Version 2.0,” CISA, SP 800-207 強調 “encompasses component relationships, workflow planning, and access policies.” (CISA)

3. “SP 800-207: Zero Trust Architecture,” NIST, 定義 ZTA 為基於零信任原則的企業基礎設施設計與工作流程規劃。 (NIST 出版物)

4. “SP 800-207: Zero Trust Architecture,” NIST CSRC, ZTA uses zero trust principles to plan industrial and enterprise infrastructure and workflows. (NIST計算機安全資源中心)

5. “What is NIST SP 800-207 compliance?” CyberArk, 規範政策引擎與執行點須基於 least privilege 和 dynamic policy。 (CyberArk)

6. “A Zero Trust Architecture Model for Access Control in …,” NIST SP 800-207A, 強調移除基於網路位置或資產所有權的隱式信任。 (NIST計算機安全資源中心)

7. “Understanding NIST 800-207,” RiskRecon Blog, 強調 “an enterprise should implicitly trust nothing” 的基本假設。 (RiskRecon Blog)

8. “Basics of Zero Trust Architecture According to NIST SP 800-207,” LinkedIn, 指出 ZTA encompasses component relationships, workflow planning, and access policies。 (LinkedIn)

9. “NIST SP 800-207: Zero Trust for SaaS Applications,” DoControl, 闡述保護 assets, services, workflows, network accounts 而非僅網路區段。 (DoControl)

10. “Zero trust architecture,” Wikipedia, 進一步說明互動認證、連續授權與最小權限的重要性。 (維基百科)