Cybersecurity Compliance Updates — 2026-W06
報告週期: 2026-02-02 至 2026-02-08 產出日期: 2026-02-08 資料來源: NIST Frameworks, NIST Cybersecurity Insights, ISO Standards, CISA KEV, CSA Cloud Security 追蹤動態: 50 項
免責聲明
本報告由 AI 系統自動產出,基於公開資料源萃取與結構化分析。內容僅供參考,不構成法律或合規建議。所有資訊應以原始發布機構的正式文件為準。標註「[系統推論]」之內容為系統趨勢分析,尚未經人工驗證。
本週重點
1. NIST 發布 AI 時代網路安全草案指引(NISTIR 8596)[美國/draft]
NIST 於 2025-12-16 發布首個 AI 網路安全框架配置檔草案,要求組織在採用 AI 時必須同步發展網路安全策略,涵蓋三大領域:保護 AI 系統、使用 AI 強化防禦、抵禦 AI 驅動攻擊。此草案由超過 6,500 位社群成員參與制定,公開意見徵詢至 2026-01-30,與現有 CSF 製造業、金融業、電信業配置檔並列。(來源)
2. 安全軟體開發框架 SSDF 1.2 版本公開徵詢意見 [美國/revision]
NIST 於 2025-12-17 發布 SSDF Version 1.2 草案,新增與改善安全軟體開發實務、任務與範例,擴展軟體生產者與採購者在整個軟體開發生命週期中降低漏洞風險的指引。(來源)
3. SP 800-53 控制項修訂:軟體修補程式安全控制 [美國/draft/mandatory]
NIST 回應行政命令 14306「Sustaining Select Efforts to Strengthen the Nation’s Cybersecurity」,發布 SP 800-53 Release 5.2.0 控制項修訂草案,新增軟體韌性、開發者測試、安全日誌記錄、最小權限控制、部署管理、軟體完整性驗證等要求。此為 mandatory 層級,組織需明確界定組織與開發者間的修補管理責任分工。公開意見徵詢至 2025-08-05,預計 2025-09-02 發布 Release 5.2.0。(來源)
4. IoT 安全接入最終出版物發布 [美國/final]
NIST 於 2025-11-25 發布三份 IoT 安全接入最終出版物(CSWP 42、NISTIR 8350、SP 1800-36),經歷四年與產業夥伴合作,要求在 IoT 設備連接網路前建立信任機制並提供唯一網路憑證,透過可擴展自動化的信任網路層接入方式管理設備完整生命週期。(來源)
5. ISO/IEC 25706:2026 安全協定與資料模型標準發布 [國際/final]
ISO 於 2026-02-03 發布 ISO/IEC 25706:2026,建立資訊技術安全協定與資料模型(SPDM)收集標準。此為 ISO/IEC JTC 1 技術委員會制定的第一版標準,屬於 ICS 35.030 資訊安全領域。雖為自願性標準,但特定行業或法規可能要求遵循。(來源)
6. CISA KEV 新增兩項關鍵漏洞修復義務 [美國/mandatory]
CISA 於 2026-01-22 將 CVE-2025-31125(Vite Vitejs 存取控制不當)與 CVE-2025-34026(Versa Concerto 認證不當)加入已知被利用漏洞目錄。聯邦機構須於 2026-02-12 前完成修復。Vite Vitejs 漏洞影響明確暴露開發伺服器的應用程式;Versa Concerto 漏洞則允許攻擊者存取 SD-WAN 平台的管理端點。(來源)
7. CSA 與 MITRE 合作建立雲端安全控制對照 [國際/guidance]
Cloud Security Alliance 與 MITRE CTID 於 2026-01-27 發布合作成果,將 CSA Cloud Controls Matrix(CCM)控制項對應至 MITRE ATT&CK 框架。此整合協助雲端安全專業人員將標準化控制措施與已知攻擊者戰術技術知識庫連結。(來源)
區域動態比較
美國(NIST)
AI 與網路安全整合
- NISTIR 8596(draft):AI 時代網路安全配置檔,整合 CSF 與 AI RMF,公開徵詢意見至 2026-01-30
- NCCoE Cyber AI Profile 工作坊系列:涵蓋 AI 強化防禦、保護 AI 系統元件、對抗 AI 驅動攻擊
軟體供應鏈安全
- SP 800-53 Release 5.2.0(draft/mandatory):軟體修補程式安全控制增修,回應 EO 14306
- SSDF Version 1.2(revision):安全軟體開發框架更新,擴展生命週期指引
- NIST IR 8536(draft):製造業供應鏈追溯性元框架第二次公開草案
IoT 安全
- CSWP 42 / NISTIR 8350 / SP 1800-36(final):IoT 安全接入出版物三件套
- NIST IR 8259 Rev. 1(revision/public_comment):IoT 製造商基礎資安活動修訂
- NIST IR 8349(final):IoT 裝置網路行為特徵化
加密與密碼學
- SP 800-232(final):輕量級密碼學標準 Ascon,保護資源受限裝置
- SP 1800-37(final):TLS 1.3 環境下網路可視性解決方案
- CMVP 白皮書(draft):加密模組驗證計畫自動化流程
勒索軟體與事件回應
- NIST IR 8374 Revision 1(public_comment):勒索軟體風險管理更新至 CSF 2.0 版本
關鍵基礎設施
- 公共運輸網路安全社群配置檔(draft):徵詢公共運輸業者網路安全實務意見
- OT 可攜式儲存媒體指引(draft):降低 OT 環境中 USB 裝置風險
- BGP 路由洩漏緩解測試工具(guidance):開源工具驗證 BGP 安全機制
- AI 製造與關鍵基礎設施中心(new):新設兩個 AI 經濟安全中心
身份與存取
- NIST IR 8523(final):刑事司法資訊系統多因素驗證
- 行動駕照專案資源(draft):數位身分驗證指引
歐盟
本期無 EU 資安法規動態
(本期 Qdrant 搜尋結果未包含 eu_regulations Layer 之 cybersecurity 類別資料)
國際標準組織(ISO)
資安專業人員能力標準更新
- ISO/IEC 19896-1:2025(final):IT 安全符合性評估人員能力要求概覽與概念(第二版)
- ISO/IEC 19896-2:2026(final):依據 ISO/IEC 19790 與 ISO/IEC 24759 之測試與驗證人員知識技能要求(第二版)
- ISO/IEC 19896-3:2025(final):依據 ISO/IEC 15408 系列與 ISO/IEC 18045 之評估與審查人員知識技能要求(第二版)
安全協定與加密標準
- ISO/IEC 25706:2026(final):安全協定與資料模型(SPDM)收集標準(2026-02-03 發布)
- ISO/IEC 29192-1:2012/Amd 1:2025(amendment):輕量級密碼學修訂
- ISO/IEC 27566-1:2025(final):年齡驗證系統框架
CISA 已知被利用漏洞(KEV)
| CVE ID | 供應商/產品 | 漏洞類型 | 修復期限 |
|---|---|---|---|
| CVE-2025-31125 | Vite / Vitejs | 存取控制不當 | 2026-02-12 |
| CVE-2025-34026 | Versa / Concerto | 認證不當 | 2026-02-12 |
Cloud Security Alliance
雲端安全控制與威脅對照
- CSA CCM 對照 MITRE ATT&CK(guidance):整合 Cloud Controls Matrix 與 ATT&CK 框架
- Zero Trust 控制層設計(guidance):雲端控制層安全保證設計指引
控制措施對照
| 控制領域 | NIST 對應 | EU 對應 | 變動摘要 |
|---|---|---|---|
| AI 網路安全 | NISTIR 8596(CSF + AI RMF 整合) | — | 建立首個 AI 網路安全配置檔,涵蓋保護 AI 系統、AI 強化防禦、抵禦 AI 攻擊(draft) |
| 軟體更新管理 | SP 800-53 Release 5.2.0 | — | 新增安全日誌格式、完整性驗證、責任分工控制(mandatory/draft) |
| 安全軟體開發 | SSDF Version 1.2 | — | 擴展生產者與採購者漏洞風險緩解指引(revision) |
| 勒索軟體防禦 | NIST IR 8374 Rev. 1 對齊 CSF 2.0 | — | 擴展偵測/回應/復原控制,對齊 Govern 功能 |
| IoT 安全接入 | CSWP 42, NISTIR 8350, SP 1800-36 | — | 建立信任機制、唯一憑證、生命週期管理(final) |
| 輕量級密碼學 | SP 800-232 Ascon 系列 | — | 資源受限裝置採用 ASCON-128/Hash/XOF/CXOF(final) |
| TLS 可視性 | SP 1800-37 | — | TLS 1.3 加密環境下安全監控解決方案(final) |
| 供應鏈追溯 | NIST IR 8536 | — | 製造業供應鏈追溯性元框架(draft) |
| OT 環境安全 | OT 可攜式儲存媒體指引 | — | USB 裝置與外部媒體管理責任標準(draft) |
| 漏洞修復 | CISA KEV(CVE-2025-31125, CVE-2025-34026) | — | 聯邦機構強制修復義務(mandatory,期限 2026-02-12) |
| 雲端安全 | — | — | CSA CCM 對照 MITRE ATT&CK(guidance) |
| 安全協定 | — | ISO/IEC 25706:2026 | SPDM 收集標準(final) |
| 專業人員能力 | — | ISO/IEC 19896 系列 | IT 安全評估人員能力標準(final) |
責任變動追蹤
| 來源 | 文件 | affected_roles | shift_type | shift_summary |
|---|---|---|---|---|
| NIST | NISTIR 8596 | 各階段 AI 採用組織、資安專業人員、企業領導、AI 整合決策者 | new | 建立首個 AI 網路安全框架配置檔,要求組織在採用 AI 時必須同步發展網路安全策略 |
| NIST | SSDF Version 1.2 | 軟體生產者、開發者、採購者、聯邦機構、供應鏈廠商 | expanded | 擴展安全軟體開發實務、任務與範例,強化漏洞風險緩解 |
| NIST | SP 800-53 Release 5.2.0 | 聯邦機構系統管理員、安全團隊、軟體開發者、修補部署組織 | expanded | 組織需處理軟體韌性、開發者測試、安全日誌、最小權限控制、部署管理、軟體完整性驗證 |
| NIST | NIST IR 8374 Rev. 1 | 資安團隊、事件回應團隊、風險管理人員、IT 管理員、備份管理員、業務持續規劃者 | expanded | 勒索軟體風險管理對齊 CSF 2.0,擴展偵測與復原責任 |
| NIST | SP 800-232 | IoT 裝置製造商、嵌入式系統開發者、醫療裝置製造商、汽車供應商、智慧家庭產品開發者 | new | 資源受限裝置製造商需採用輕量級密碼學標準 Ascon |
| NIST | SP 1800-37 | 網路安全工程師、SOC 分析師、網路管理員、資安監控人員、合規稽核人員 | new | TLS 1.3 環境下網路可視性挑戰實務解決方案 |
| NIST | CSWP 42 / NISTIR 8350 / SP 1800-36 | IoT 裝置製造商、網路管理員、IoT 部署團隊、憑證管理團隊、裝置生命週期管理者 | new | IoT 設備連接前建立信任機制並提供唯一網路憑證 |
| NIST | NIST IR 8536 | 製造業組織、供應鏈管理者、資安專業人員、合規人員、採購團隊 | expanded | 供應鏈可見性和追溯性管理責任範圍擴展 |
| NIST | OT 可攜式儲存媒體指引 | OT/ICS 管理員、工控系統操作員、製造廠安全團隊、關鍵基礎設施操作員 | new | 工業控制系統中 USB 裝置和外部媒體管理責任標準 |
| NIST | 公共運輸網路安全社群配置檔 | 公共運輸業者、運輸營運商、運輸 IT/OT 團隊 | new | 採用自願性、基於風險的方法強化網路安全態勢,管理 IT 與 OT 系統風險 |
| NIST | AI 製造與關鍵基礎設施中心 | AI 開發者、製造業組織、關鍵基礎設施營運商、聯邦 R&D 中心 | new | 新設兩個 AI 經濟安全中心,開發 AI 代理工具與技術評估機制 |
| NIST | NICE Framework Update | 資安人才、教育者、雇主、人力發展專業人員、HR 專業人員 | expanded | 新增一個工作角色、11 個新能力領域,更新任務、知識與技能要求 |
| NIST | 人臉變形偵測指引 | 身分驗證團隊、生物辨識系統操作員、詐欺防範團隊、邊境安全人員、金融機構 | new | 組織在身份驗證系統中檢測合成人臉圖像和防範身份詐欺的責任標準 |
| CISA | CVE-2025-31125 | 使用 Vite Vitejs 且開發伺服器暴露於網路的組織 | new | 強制修復存取控制不當漏洞(期限 2026-02-12) |
| CISA | CVE-2025-34026 | 使用 Versa Concerto SD-WAN 的組織 | new | 強制修復認證不當漏洞(期限 2026-02-12) |
| CSA/MITRE | CCM-ATT&CK 對照 | 雲端安全專業人員、威脅情報分析師、安全架構師 | new | 建立雲端控制措施與攻擊技術對照 |
| ISO | ISO/IEC 25706:2026 | 安全協定實施人員、硬體安全工程師 | new | 發布 SPDM 收集標準 |
| ISO | ISO/IEC 19896 系列 | IT 安全評估人員、驗證人員、審查人員 | new | 更新專業人員能力標準 |
義務與舉證要求
新增義務摘要
AI 網路安全(NISTIR 8596 草案)
- 在採用 AI 時同步制定網路安全策略
- 保護組織基礎設施內的 AI 系統
- 使用 AI 強化防禦性網路安全作業
- 建立對抗 AI 驅動網路攻擊的韌性
安全軟體開發(SSDF 1.2)
- 實施新增與改善的安全軟體開發實務
- 軟體生產者與採購者需降低整個開發生命週期的漏洞風險
軟體修補程式管理(SP 800-53 Release 5.2.0 草案)
- 實施安全可靠修補程式部署控制
- 建立軟體韌性措施與開發者測試協議
- 部署修補活動安全日誌並執行最小權限
- 部署期間驗證軟體完整性
- 明確界定組織與軟體開發者間的角色責任
- 修補相關事件進行根本原因分析與改善流程
勒索軟體風險管理(NIST IR 8374 Rev. 1)
- 將勒索軟體風險管理實務對齊 CSF 2.0
- 實施強化的勒索軟體偵測與回應控制
- 建立復原能力
- 審視並更新既有勒索軟體準備計畫以反映 CSF 2.0 指引
IoT 安全接入(CSWP 42 / NISTIR 8350 / SP 1800-36)
- 憑證發放前建立網路與 IoT 裝置間的信任
- 使用可信賴的網路層接入機制
- 透過可擴展、自動化、可信賴的方法為 IoT 裝置提供唯一網路憑證
- 管理裝置完整生命週期
- 防護未授權網路連線
輕量級密碼學(SP 800-232)
- 資源受限電子裝置實施 Ascon 系列演算法
- 選擇適當變體:ASCON-128 AEAD、ASCON-Hash 256、ASCON-XOF 128、ASCON-CXOF 128
- 設計具備側通道攻擊抵抗能力的實作
舉證要求摘要
| 義務領域 | 舉證要求 |
|---|---|
| AI 網路安全 | AI 網路安全策略文件、AI 系統安全評估、防禦性 AI 能力實作、AI 驅動威脅韌性措施、跨營運 AI 風險評估 |
| 安全軟體開發 | SSDF 實務實施紀錄、漏洞風險緩解措施文件、開發生命週期安全檢查點紀錄 |
| 軟體修補程式 | 更新部署管理程序文件、軟體完整性驗證紀錄、組織與開發者間角色責任矩陣、修補部署問題根本原因分析報告 |
| 勒索軟體風險 | 勒索軟體風險評估文件、勒索軟體專屬事件回應計畫、備份與復原測試紀錄、CSF 2.0 對齊對應表 |
| IoT 安全接入 | 信任建立協議、憑證發放日誌、網路層接入實作、唯一憑證指派紀錄、裝置生命週期管理文件、未授權連線防護措施 |
| 輕量級密碼學 | 密碼學實作文件(含選用的 Ascon 變體與參數)、側通道攻擊抵抗測試報告、能源消耗評估與最佳化紀錄 |
| 漏洞修復 | 修復驗證紀錄、修補程式部署文件、漏洞掃描結果 |
| 雲端安全 | 控制措施對照文件、ATT&CK 技術覆蓋評估、防禦策略文件 |
L5 — Evolution Signals
[系統推論] AI 與網路安全整合將成為 2026 年監管主軸
NISTIR 8596 草案的發布標誌著 AI 網路安全正式進入框架化階段。結合 CSF 與 AI RMF 的配置檔模式,預示未來監管將要求組織在 AI 採用決策中納入網路安全考量,而非事後補強。超過 6,500 位社群成員參與制定的規模,顯示這將成為跨產業的共識標準。NCCoE 的 Cyber AI Profile 工作坊系列(涵蓋 AI 強化防禦、保護 AI 元件、對抗 AI 攻擊)進一步印證此趨勢。
[系統推論] 軟體供應鏈安全從建議轉向強制
SP 800-53 Release 5.2.0 回應行政命令 14306 的快速修訂,以及 SSDF 1.2 的同步更新,顯示美國政府正將軟體供應鏈安全從 recommended 推向 mandatory。組織與開發者間責任分工的明確化,預示未來合規稽核將更關注軟體來源可追溯性與修補程式驗證。
[系統推論] IoT 安全標準生態系進入成熟期
三份 IoT 安全接入最終出版物(CSWP 42、NISTIR 8350、SP 1800-36)的發布,加上 SP 800-232 輕量級密碼學標準定案、IR 8349 裝置行為特徵化、IR 8259 製造商活動修訂,形成完整的 IoT 安全標準生態系。經歷四年與產業夥伴合作,這些標準已達到可實施階段,製造商應預期未來採購規格將援引這些標準。
[系統推論] 加密環境下的可視性需求驅動架構變革
SP 1800-37 的發布反映組織在強化加密(TLS 1.3)與維持安全監控間的兩難。預期 2026 年將有更多 endpoint-based 監控與 out-of-band 解決方案發展,SOC 架構可能需要調整以因應加密流量可視性挑戰。
[系統推論] OT 環境安全成為關鍵基礎設施保護焦點
OT 可攜式儲存媒體指引草案與公共運輸網路安全社群配置檔的徵詢,加上 AI 製造與關鍵基礎設施中心的成立,顯示 NIST 正擴展對工業控制系統與關鍵基礎設施的安全指引覆蓋。IT/OT 融合環境下的安全管理將成為 2026 年合規重點。
[系統推論] 漏洞修復時限持續壓縮,DevSecOps 整合需求加速
CISA KEV 的兩項新增漏洞(CVE-2025-31125, CVE-2025-34026)均要求於三週內修復。Vite Vitejs 漏洞影響前端開發工具鏈,顯示攻擊面已擴展至開發環境。組織需將漏洞情報整合至 CI/CD 流程,實現自動化修補驗證。
[系統推論] 控制措施與攻擊技術對照成為標準實務
CSA 與 MITRE 的合作標誌著安全控制措施評估從「符合性檢查」轉向「威脅導向驗證」。未來控制措施的有效性將以其對已知攻擊技術的覆蓋率衡量,而非單純的文件合規。
統計
| 指標 | 數值 |
|---|---|
| 總變動數 | 50 |
| 來源分布 | NIST Frameworks: 25, NIST Insights: 15, ISO Standards: 6, CISA KEV: 2, CSA Cloud Security: 2 |
| rule_type 分布 | guidance: 14, new: 8, draft: 6, final: 5, revision: 3, amendment: 2, event: 2, 其他: 10 |
| enforcement_signal 分布 | recommended: 20, informational: 12, mandatory: 4, 未標註: 14 |
| REVIEW_NEEDED | 2 筆 |
資料來源
| Layer | Category | 筆數 | 時間範圍 |
|---|---|---|---|
| nist_frameworks | cybersecurity, ai_risk, critical_infrastructure, supply_chain, identity | 25 | 2025-07-15 ~ 2026-01-28 |
| nist_cybersecurity_insights | cybersecurity, ai_risk, workforce, policy_guidance, privacy | 15 | 2024-02-28 ~ 2026-01-27 |
| iso_standards | information_security, other | 6 | 2025-11-19 ~ 2026-02-03 |
| cisa_kev | vulnerability | 2 | 2026-01-22 |
| csa_cloud_security | cloud_security | 2 | 2026-01-20 ~ 2026-01-27 |
| eu_regulations | cybersecurity | 0 | — |
報告產出:Narrator Mode - cybersecurity_compliance 資料擷取時間點:2026-02-08