31. CISA(美國網路安全暨基礎設施 安全局)零信任成熟模型( Zero Trust Maturity Model， ZTMM)，針對遠端使用供應鏈管理系統、資料存取、設備辨 識等項目規劃零信任架構。關於設計與部署原則的敘述，下 列何者最正確？
(A) 員工自帶裝置可以不算在零信任架構中
(B) 雲端資料來源與運算服務，不納入零信任架構
(C) 所有的資料來源與運算服務，都要被當作是資源
(D) 在允許存取之前，所有的資源的身分鑑別與授權機 制，不需監控結果動態決定

總結

CISA 的零信任成熟度模型（ZTMM）明確指出，所有資料來源與運算服務都應視為受保護的資源，並納入零信任架構中進行身分驗證、授權與動態監控；其他選項如排除員工自帶裝置、雲端資源或忽略動態授權決策，均違背「不預設信任、持續驗證」的核心原則。因此，最正確的敘述為 (C) 所有的資料來源與運算服務，都要被當作是資源。

選項分析

(A) 員工自帶裝置可以不算在零信任架構中

零信任的基本假設是不論資產所有權或網路位置，所有裝置皆不應被隱式信任，必須納入驗證與授權流程【(CISA)】。故將 BYOD 排除於外與零信任精神相悖。

(B) 雲端資料來源與運算服務，不納入零信任架構

ZTA 要求涵蓋所有資料與運算點，包括雲端儲存、IaaS 平台與 SaaS 應用，必須同樣進行存取控制與持續監測【(CybeReady)】。排除雲端資源將留下重大風險盲點。

(C) 所有的資料來源與運算服務，都要被當作是資源

CISA 明示：「All data sources and computing services are considered resources」──任何連入網路的實體或邏輯元件，均須視為零信任架構中的保護對象【(CybeReady)】。此選項符合 ZTMM 的範圍定義，為正確敘述。

(D) 在允許存取之前，所有的資源的身分鑑別與授權機制，不需監控結果動態決定

零信任策略強調「持續驗證與動態授權決策」，必須結合即時風險評估與行為分析來調整存取權限【(CISA, CISA)】。若不依據監控結果動態決策，將無法應對瞬息萬變的威脅，亦非正確做法。

結論

選項 (C) 為最正確的描述：在 CISA 的零信任成熟度模型中，所有資料來源與運算服務皆被視為資源，並需納入零信任架構的全面管控之中。