[分享] 強化零信任知識與專業能力

在台灣，隨著金管會在2022年12月發布「金融資安行動方案 2.0」，並且持續推動零信任架構（Zero Trust Architecture, ZTA），對於金融行業來說，針對高風險的作業活動，建立安全有效的資源存取和保護機制，已經是不可或缺的工作之一，如果您想要強化有關零信任的專業知識與能力，本篇文章提供了相關學習的資源與參考資料。

零信任（Zero Trust）這個名詞出現在2010年，由任職於知名研究調查機構 Forrester 的 John Kindervag 所提出，他認為所有的網路流量都是不可信任的，必須在每個步驟中針對資料或資源的存取需求進行驗證，而它的精神也就是最廣為人知的一句話：「永不信任，始終驗證 (Never trust, always verify)」。

隨著零信任技術發展的不斷演進，加上行動科技和雲端運算的運用也愈來愈普及，在2013年雲端安全聯盟（CSA）提出了軟體定義邊界（Software-Defined Perimeter, SDP）的概念，藉由建立一個無形邊界的安全架構，呼應了零信任精神來保護組織的關鍵資產與資源。在2020年，美國國家標準與技術研究院（NIST）亦發布了「NIST SP 800-207 Zero Trust Architecture」，正式建立了構成零信任架構的核心元件，也成為了聯邦機構或任何組織，想要強化網路安全的重要參考資訊。

依據 NIST 的定義，零信任不是指單一架構，而是一組整合工作流程、系統設計和運作的指導原則，可用來強化各種不同類型或敏感等級資料的安全現況。CSA 則強調了在實施零信任架構時，每個防護面專案需要執行的五個關鍵步驟：定義保護層面、對映資料傳輸流程、建構零信任架構、建立零信任政策，以及持續監控和維護，這些步驟提供了一種結構化的方法來增強網路安全，並確保組織能夠將現有的安全做法成功轉換到零信任模式。

如何強化零信任知識和能力

對於資訊或資安人員來說，若想要強化有關零信任的專業知識與能力，個人有以下兩個「不用花錢」的方法分享給大家，如果在閱讀了文件之後，對於零信任的規劃和實施有一些學習心得，還可以進一步選擇「花錢」參加考試來取得能力證書，這個資訊也一併提供給大家參考。

1. 免費下載兩份零信任的重要參考指南

「NIST SP 800-207 Zero Trust Architecture」- https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-207.pdf

「CSA Software-Defined Perimeter (SDP) Specification v2.0」 - https://cloudsecurityalliance.org/artifacts/software-defined-perimeter-zero-trust-specification-v2

2. 下載「CCZT Prep Kit」(需注冊CSA會員-免費)，裡面提供了通過 CCZT 考試所需研讀的教材，以及其他和零信任有關的補充知識文件。

https://cloudsecurityalliance.org/artifacts/cczt-prep-kit

關於零信任能力證書 (CCZT)

零信任能力證書 (Certificate of Competence in Zero Trust, CCZT) 是由雲端安全聯盟 (CSA) 在2023年11月所推出的個人能力證明，如果學習了以上的零信任知識，想進一步取得專業能力的證明，可以藉由參加線上考試來獲得證書，以下相關資訊彙整自 CSA 官網的說明。

考試的七大知識領域

1. Zero Trust and Zero Trust Architecture general concepts and definitions (零信任和零信任架構的一般概念和定義)

2. Zero Trust goals, objectives, and benefits (零信任的目標、目的與優勢)

3. Zero Trust Architecture logical model and key components (零信任架構的邏輯模型與關鍵元件)

4. Software Defined Perimeter (軟體定義邊界)

5. Zero Trust Strategy (零信任策略)

6. Zero Trust Planning (零信任規劃)

7. Zero Trust Implementation (零信任實施)

研讀考試的教材

在 CSA 提供的「CCZT Prep Kit」中，包括了以下相關參考資料:

• 5 Study Guides (*5 份學習指南 - 涵蓋七大知識領域，這是通過考試的必讀文件!)

• Knowledge Guide (知識指南 - 針對考試的說明介紹)

• CCZT Curriculum (課程大綱)

• Recommended Readings (推薦閱讀材料 - 有空再看)

• Authoritative Sources (官方資源)

• Mapping ZTA Components to SDP (NIST零信任架構和CSA SDP的對照說明)

• FAQ (考試常見問題)

• Infographic - How to Earn your CCZT (說明如何取得 CCZT 認證)

• 50 Sample Questions (*50 題範例題 - 考前必讀!)

• Overview Presentation (考試說明簡報)

考試方式和費用

CCZT 考試為開卷 (open book) 的線上考試 (使用自己的電腦，時間可自由選擇進行)，考試過程包含了60道選擇題 (單選)，考試時間為120分鐘，最低及格分數為80%。考試的費用為175美元，包含了兩次考試機會，有效期限為兩年。

最後，在完成考題作答並送出之後，即可馬上得知是否順利通過，考試通過之後即可獲得一份電子證書和以下的個人標章 (證明錢沒有白花~~)。

Certificate of Competence in Zero Trust (CCZT) for Jack Hua

[分享] 新版ISO 27701之改變和轉版規劃

新版ISO 27701標準已於2025-10-14發布，正式成為可獨立實施和驗證的隱私資訊管理系統標準，新版標準採用了調和結構 (Harmonized Structure)，包括建立管理體系的本文4~10章，內容架構採用相同標題和文字，方便組織和其他標準進行整合。

在新版標準的附錄A，則針對「PII控制者 (A.1)」和「PII處理者 (A.2)」兩個角色，說明它的控制目標和控制措施。另外，也新增了兩個角色在資安方面需考量的控制措施 (A.3)，並且在附錄B提供了控制措施實作的參考指引，以下列舉新版標準主要的調整和變動。

管理體系的調整

- 原本文5.2~5.8調整為4~10，建立完整的高階管理架構，讓組織更容易和其他標準對齊。

- 原本文6~8調整為新版的附錄B實作指引。

- 原舊版中的附錄A和B，在新版中調整為A.1和A.2，並新增A.3 資安控制措施 (A.3.3~A.3.31)。

控制措施的調整

- 原附錄A.7.2~A.7.5針對「PII控制者」的控制措施，新版調整為附錄A.1.2~A.1.5，包括四個控制領域：蒐集及處理條件、對PII當事人之義務、於設計階段保護隱私及預設保護隱私，以及PII 共享、傳輸及揭露，一共有31個控制措施。

- 原附錄B.8.2~B.8.5針對「PII處理者」的控制措施，新版調整為附錄A.2.2~A.2.5，包括四個控制領域：蒐集及處理條件、對PII當事人之義務、於設計階段保護隱私，以及預設保護隱私及PII 共享、傳輸及揭露，一共有18個控制措施。

- 取消原條款6 ISO 27002 資安控制措施指引，新增附錄A.3「PII控制者和PII處理者的安全事項」，挑選了包括A.3.3~A.3.31共29個資訊安全控制措施，同時也提供了附錄B.3 「PII控制者和PII處理者的實作指引」作為參考。

轉版規劃與準備

目前各家驗證公司還沒有發布轉版的時程 (個人預估最晚在2026 Q3)，但對於已持有舊版證書，準備要進行轉版的組織而言，可以先透過以下步驟進行規劃與準備：

1. 進行差異分析：可對照舊版和新版的要求事項，評估目前的差異，包括本文新增的條款6.3變更之規劃、條款6.1.3要求建立資訊安全計畫 (information security programme)，以及附錄A.3的29個資安控制措施。

2. 制訂轉版計畫：包括資源的準備，轉版工作的職責分配，本文4~10章管理體系各項流程實施完成時間的安排。

3. 實施新版要求：修訂管理制度文件，實作隱私控制措施，包括隱私風險評鑑和隱私風險處理、更新適用性聲明 (對應新版條款) 及隱私目標規劃與量測等，並且完成內部稽核和管理審查。

4. 申請轉版驗證：跟驗證公司確認轉版稽核時間，安排受稽人員和場地設施，以便順利取得新版證書。