四、零信任架構實作建議 （一）風險導向，擇高風險場域先行 初期導入以規模於可控範圍、減少影響面並可獲致實質補強效益為 原則，建議以高風險、低衝擊之場域為優先，並得依風險基礎方法 進行適當評估，擇定其導入優先序及範圍。高風險場域例舉如下： 1.遠距辦公：使用者及設備位於傳統資安防護邊境外。 2.雲端存取：雲端資源位於傳統資安防護邊境外。 3.系統維運管理：含重要主機設備及系統軟體（作業系統、資料庫 等）之特權帳號管理。 4.應用系統管理：重要應用系統之管理者（如帳號管理員）或高權 限使用者帳號（如可接觸大量個資或機敏資料者）。 5.服務供應商：如委外廠商之遠端維運管理。 6.跨機構協作：如重要應用系統開放予外部使用者從外部存取，其 人員到離或使用設備非屬本機構管控範圍者。 （二）循序漸進，擇基礎原則先行 美國 NIST、CISA 及國家資通安全研究院雖有各自訂定之導入框架 、原則或標準，惟考量實務可行性，建議依前揭高風險場域之完整 存取路徑（即身分、設備、網路、應用程式、資料 5 大支柱）， 評估既有資安防護機制之完備度，依傳統、初始、進階及最佳等四 階段導入相關控制措施。 零信任架構 5 大支柱建議實作功能及原則等，依導入階段分級（ Level Ⅰ, Ⅱ, Ⅲ, Ⅳ）如附表。