NIST SP 800-172第三版修訂強化CUI保護與APT防禦韌性
NIST 於 2026 年 5 月 13 日發布 SP 800-172 第三版修訂(r3),同步發布配套評估指南 SP 800-172Ar3,強化對受控非機密資訊(CUI)的保護,專注於對抗進階持續性威脅(APT)。
文件概覽
| 項目 | 內容 |
|---|---|
| 發布日期 | 2026-05-13 |
| 文件名稱 | SP 800-172 r3(Enhanced Security Requirements for Protecting CUI) |
| 配套文件 | SP 800-172Ar3(評估指南) |
| 官方連結 | https://csrc.nist.gov/pubs/sp/800/172/r3/final |
核心定位
SP 800-172 是建立在 SP 800-171 基本合規框架之上的增強型要求,專為保護:
- 關鍵計畫(Critical Programs)
- 高價值資產(High Value Assets, HVA)
目標:建立對抗 APT 的縱深防禦(defense-in-depth)能力。
與其他框架的同步
- SP 800-53 Release 5.2.0:控制項高度同步,降低跨框架管理複雜度
- CMMC(網路安全成熟度模型認證):提供合規路徑支援
- RMF(風險管理框架):可對接整合
適用情境
- CMMC 合規支援(國防供應鏈)
- 供應鏈韌性強化
- 風險管理框架(RMF)整合
- 資安工程實務現代化
核心轉向
從被動合規(reactive compliance)轉向主動韌性(proactive resilience)
Victoria Yan Pillitteri(NIST 負責人)強調此版本聚焦於組織在遭受 APT 攻擊後快速恢復的能力,而非僅滿足基線合規要求。