複選題

32. 關於 NIST SP 800-207 零信任架 構(Zero Trust Architecture)的基本規則敘述，下列何者正確？ (複選)
(A) 所有的通訊都需被保護，無論其所在之網路位置
(B) 須觀察與量測所擁有資產與相關資產，其完整性與安 全態勢
(C) 運算服務(Computing Service)和資料來源(Data Sources)皆可視為資源
(D) 應先蒐集資產、網路架構等現狀，建立資產清冊

總結

NIST SP 800-207 在「零信任基本規則（Zero Trust Tenets）」中，明確指出：

1. 所有的資料來源與運算服務都應被視為資源【(CyberArk)】

2. 所有通訊不論所在網路位置皆須加以保護【(CSO Online)】

3. 企業必須觀察並衡量所有資產的完整性與安全態勢【(CyberArk)】
   而「先蒐集資產清冊」雖是實作上的重要步驟，但不屬於 NIST SP 800-207 所列的核心「基本規則」之一（該文件將資產資訊收集歸於落實安全架構流程，而非原則本身），故在此題中最不合適。

正確選項

(A) 所有的通訊都需被保護，無論其所在之網路位置

NIST SP 800-207 第一大基本規則即為：「All communication is secured regardless of network location… Protect confidentiality and integrity, and provide source authentication」【Tenet 2】 (CyberArk)(CSO Online)。

(B) 須觀察與量測所擁有資產與相關資產，其完整性與安全態勢

Tenet 5 明載：「The enterprise monitors and measures the integrity and security posture of all owned and associated assets…」以確保資安狀態可視化並及時回應風險。 (CyberArk)

(C) 運算服務 (Computing Service) 和資料來源 (Data Sources) 皆可視為資源

Tenet 1 強調：「All data sources and computing services are considered resources.」該定義將雲端服務、IoT 裝置、以及任何處理資料的系統均納入零信任架構控管範圍。 (CyberArk)

為何 (D) 不正確？

(D) 應先蒐集資產、網路架構等現狀，建立資產清冊

此敘述屬於落實零信任架構時的「實作步驟」或「工程流程」（如設計與部署過程中的資料蒐集與傾向最佳實踐），而非 NIST SP 800-207 所列的「七大基本規則（Tenets）」之一【(NIST計算機安全資源中心)】。基本規則聚焦於架構原則（如「資源視為保護對象」、「通訊加密」、「動態授權」等），而資產清冊蒐集則在後續章節作為持續強化與可視化的實務建議。

參考文獻

1. CyberArk：「NIST SP 800-207 Zero Trust Tenet 1–All data sources and computing services are considered resources」(CyberArk)

2. CSO Online：「NIST Zero Trust Tenet 2–All communication is secured regardless of network location」(CSO Online)

3. CyberArk：「NIST Zero Trust Tenet 5–Monitor and measure asset integrity and security posture」(CyberArk)

4. NIST CSRC：「Zero Trust Architecture focuses on protecting resources, not network segments」(NIST計算機安全資源中心)

5. CISA：「Zero Trust Maturity Model reflects the seven tenets of NIST SP 800-207」(cisa.gov)