二、零信任架構概念 零信任架構的主要精神，是基於「永不信任、持續驗證」的方式，透 過持續、多種類的驗證手段，持續強化對系統或資料存取控制的安全 性。目前主要參考文件如下： （一）2020 年美國國家標準技術研究院（NIST）發布 SP 800-207 文件 ，提出身分鑑別、設備鑑別及信任推斷等 3 大核心組件，並且以 身分鑑別為優先導入範圍。 （二）2021 年美國總統發布指令，要求美國聯邦政府採用零信任架構， 作為資通安全現代化策略之一。2022 年 1 月，美國預算與管理 辦公室制定備忘錄，要求各機構在 2024 財年（FY）年底前，於身 分識別、設備、網路、應用程式與工作負載、資料等 5 個面向滿 足特定的安全標準和目標。 （四）2023 年 4 月美國網路安全暨基礎設施安全局（Cybersecurity and Infrastructure Security Agency, CISA）發布零信任成熟度 模型 2.0，依身分識別、設備、網路、應用程式與工作負載、資料 等五支柱；至自動化與協調、可視性及分析則內含於各支柱中。因 應逐步漸進之導入過程，區分傳統、起始、進階、最佳化等四個等 級。 （五）我國行政院第六期「國家資通安全發展方案（110 年至 113 年） 」之推動策略，數位部資安署將發展零信任網路資安防護環境，並 優先推動 A 級公務機關導入試辦。規劃自 111 年起，分年依序 導入身分鑑別、設備鑑別、信任推斷等階段，並陸續訂定身分鑑別 、設備鑑別、信任推動等產品標準並受理廠商申請產品驗測 。