NIST SP 800-172第三版修訂強化CUI保護與APT防禦韌性

NIST 於 2026 年 5 月 13 日發布 SP 800-172 第三版修訂(r3),同步發布配套評估指南 SP 800-172Ar3,強化對受控非機密資訊(CUI)的保護,專注於對抗進階持續性威脅(APT)。

文件概覽

項目內容
發布日期2026-05-13
文件名稱SP 800-172 r3(Enhanced Security Requirements for Protecting CUI)
配套文件SP 800-172Ar3(評估指南)
官方連結https://csrc.nist.gov/pubs/sp/800/172/r3/final

核心定位

SP 800-172 是建立在 SP 800-171 基本合規框架之上的增強型要求,專為保護:

  • 關鍵計畫(Critical Programs)
  • 高價值資產(High Value Assets, HVA)

目標:建立對抗 APT 的縱深防禦(defense-in-depth)能力。

與其他框架的同步

  • SP 800-53 Release 5.2.0:控制項高度同步,降低跨框架管理複雜度
  • CMMC(網路安全成熟度模型認證):提供合規路徑支援
  • RMF(風險管理框架):可對接整合

適用情境

  1. CMMC 合規支援(國防供應鏈)
  2. 供應鏈韌性強化
  3. 風險管理框架(RMF)整合
  4. 資安工程實務現代化

核心轉向

被動合規(reactive compliance)轉向主動韌性(proactive resilience)

Victoria Yan Pillitteri(NIST 負責人)強調此版本聚焦於組織在遭受 APT 攻擊後快速恢復的能力,而非僅滿足基線合規要求。

來源文章