2026-W07 有哪些重要的規則變動？

2026-W07 週報追蹤 50 項框架與標準變動，重點包括 NIST SP 800-53 Rev. 5.2.0 新增三項控制項（SA-15、SI-02(07)、SA-24）、ISO/IEC TS 27103:2026 發布網路安全框架整合指引、歐盟生態設計法規第 4 次勘誤。

NIST SP 800-53 Rev. 5.2.0 新增哪些控制項？

NIST SP 800-53 Rev. 5.2.0 新增三項控制項：SA-15（事件紀錄標準化）、SI-02(07)（修補失敗根因分析）、SA-24（網路韌性設計），回應 Executive Order 14306 強化國家網路安全的要求。

ISO/IEC TS 27103:2026 對組織有什麼影響？

ISO/IEC TS 27103:2026 提供組織在網路安全框架中整合運用 ISO/IEC 標準的實務指引，取代舊版標準 72437。對正在實施 ISO 27001、NIST CSF 或其他網路安全框架的組織具重要參考價值。

如何追蹤最新規則變動？

Risk & Responsibility Intelligence 每週更新 Rule Change Brief，涵蓋 NIST、EU、ISO 等主要框架與標準動態，提供結構化的規則變動追蹤與影響分析。

Rule Change Brief — 2026-W07

本期重點：NIST SP 800-53 Rev. 5.2.0 新增三項控制項回應 EO 14306、ISO/IEC TS 27103:2026 發布網路安全框架整合指引、歐盟持續發布 2024 年法規勘誤。聯邦機構與跨國企業需關注控制項實作時程與多框架合規整合。

本期追蹤 50 項框架與標準變動，涵蓋 nist_frameworks、nist_cybersecurity_insights、eu_regulations、iso_standards。

免責聲明

本簡報由 AI 系統自動產出，基於公開資料源萃取與結構化分析。內容僅供參考，不構成法律或合規建議。所有資訊應以原始發布機構的正式文件為準。標註「推測」之內容為系統推論，尚未經人工驗證。

本期重點

NIST SP 800-53 Rev. 5.2.0 新增三項控制項，回應 Executive Order 14306，聯邦機構需依 FISMA 合規要求實作 SA-15（事件紀錄標準化）、SI-02(07)（修補失敗根因分析）、SA-24（網路韌性設計）。

NIST SP 800-53 Rev. 5.2.0 控制項更新 — 回應 Executive Order 14306 新增三項控制項：SA-15（事件紀錄標準化格式）、SI-02(07)（更新失敗根因分析）、SA-24（網路韌性設計）。聯邦機構需於系統安全計畫（SSP）中納入新控制項，OSCAL 與 JSON 格式支援敏捷標準開發。rule_type: revision，enforcement_signal: mandatory。
ISO/IEC TS 27103:2026 發布 — 新版技術規範提供組織在網路安全框架中整合運用 ISO/IEC 標準的實務指引，取代舊版標準（ID 72437）。由 ISO/IEC JTC 1/SC 27 制定，ICS 代碼 35.030。對正在實施 ISO 27001、NIST CSF 或其他網路安全框架的組織具重要參考價值。rule_type: revision，enforcement_signal: recommended，發布日期 2026-02-06。
NIST SP 800-232 輕量級密碼學標準定案 — Ascon 系列演算法成為 IoT、RFID 標籤、醫療植入物等資源受限裝置的密碼學標準。涵蓋 ASCON-128 AEAD（認證加密）、ASCON-Hash 256（雜湊）、ASCON-XOF 128（可擴展輸出）。rule_type: final，enforcement_signal: recommended，發布日期 2025-08-13。
NISTIR 8596 AI 網路安全框架草案 — 首個 AI 網路安全框架配置檔，涵蓋保護 AI 系統、使用 AI 強化防禦、抵禦 AI 驅動攻擊三大領域。公開徵詢已於 2026-01-30 截止，預計近期發布最終版。document_id: NISTIR 8596，status: public_comment。
SSDF v1.2 安全軟體開發框架草案 — SP 800-218r1 擴充安全軟體開發實務作法與範例，回應 EO 14306，公開徵詢至 2026-01-30。影響軟體開發者、軟體採購者及供應鏈安全管理者。rule_type: revision，status: public_comment。

「新增的控制項直接回應 Executive Order 14306，強調安全軟體開發實務，協助組織理解其在確保系統軟體安全方面的角色。」 NIST 資安專家 Victoria Pillitteri

按風險領域分析

Cybersecurity

本期有 12 項資安相關變動，以 NIST SP 800-53 Rev. 5.2.0 控制項更新、SP 800-232 輕量級密碼學標準定案、ISO/IEC TS 27103:2026 框架整合指引為重點。

NIST SP 800-53 Rev. 5.2.0 — 回應 Executive Order 14306，新增 SA-15（紀錄標準化）、SI-02(07)（修補失敗根因分析）、SA-24（網路韌性設計）三項控制項。聯邦機構需於系統安全計畫（SSP）中納入新控制項，實作時程依風險評估決定（通常 1-3 年）。document_id: SP 800-53 Rev. 5.2.0，status: final，enforcement_signal: mandatory。
NIST SP 1800-37 TLS 1.3 可視性指引 — 發布最終版實務指南，協助組織在部署 TLS 1.3 時維持網路流量可視性，解決加密流量監控挑戰。document_id: SP 1800-37，status: final，enforcement_signal: recommended。
NIST SP 800-232 Lightweight Cryptography Standard — 最終版 Ascon 輕量級加密標準，專為 IoT、RFID 標籤、醫療植入物等資源受限裝置設計，提供認證加密、雜湊及可擴展輸出功能。演算法於 2014 年開發，2023 年經公開審查選定，2025-08-13 定案。status: final。
NIST IR 8374 勒索軟體風險管理 — CSF 2.0 社群配置檔修訂版，更新至 Cybersecurity Framework 2.0 版本，擴展勒索軟體防禦、偵測與復原方面的責任結構。document_id: NIST IR 8374 Revision 1，status: public_comment。
NIST CMVP 白皮書 (CSWP 37B) — 密碼模組驗證計畫自動化流程白皮書，徵求公眾意見以完善 ACMVP 自動化驗證機制。status: public_comment。
SUSHI@NIST 半導體安全研討會 — 2026-01-28 舉辦，啟動 Semiconductor Development Life Cycle Security Framework 開發，涵蓋硬體層威脅緩解、AI 整合系統保護、供應鏈保證。[REVIEW_NEEDED — 事件公告非正式標準] status: planning，enforcement_signal: informational。
ISO/IEC TS 27103:2026 — 提供網路安全框架整合 ISO/IEC 標準的實務指引，取代舊版標準 72437。由 ISO/IEC JTC 1/SC 27 制定。rule_type: revision，status: final，enforcement_signal: recommended。
ISO/IEC 27566-1:2025 年齡驗證系統框架 — 建立年齡驗證系統框架，涵蓋隱私與安全特性，支援年齡相關資格決策。rule_type: new，status: final，發布日期 2025-12-12。
ISO 27799:2025 醫療資訊安全控制 — 基於 ISO/IEC 27002:2022 的醫療資訊安全控制指引，適用於所有類型與規模的醫療組織。rule_type: new，status: final，發布日期 2025-12-18。
NIST CSF 2.0 小型企業快速入門指南 — 提供小型企業實施 Cybersecurity Framework 2.0 的簡化指引，降低框架採用門檻。status: final。
NICE Framework 更新 — 最新修訂新增工作角色、擴充能力領域至 11 個、更新任務知識技能描述，全面刷新資安人才框架。rule_type: revision，status: final。
NCCoE DevSecOps 虛擬活動 — 2025-08-27 舉辦，探討 SSDF/SP 800-218 最佳實踐實施方法，涵蓋 AI 在自動化建置、整合、交付與部署中的應用。

AI Risk

本期有 4 項 AI 風險相關變動，以 NISTIR 8596 AI 網路安全框架草案為核心，顯示 AI 治理框架正進入整合收斂期。

NISTIR 8596 AI 網路安全框架草案 — 首個 AI 網路安全框架配置檔，涵蓋保護 AI 系統、使用 AI 強化防禦、抵禦 AI 驅動攻擊三大領域。與超過 6,500 名社群成員經一年利害關係人參與開發。document_id: NISTIR 8596，status: public_comment，徵求意見已於 2026-01-30 截止。
NIST CSF 與 AI RMF 整合 Profiles 概念文件 — 2025-04-03 於 NCCoE 舉辦工作坊，徵求 CSF 與 AI RMF 整合性 profiles 構想回饋，支援網路安全社群在採用 AI、防禦 AI 攻擊及保護 AI 系統方面的需求。
NIST AI 網路安全計畫 — 2024 年 9 月宣布啟動新計畫，專注於 AI 時代的網路安全與隱私風險管理，要求整合 AI RMF 管理新風險，擴展傳統資安隱私職責至 AI 系統評估。
NIST 整合 AI 與既有資安指引 — 說明如何將 AI 風險管理整合至既有 NIST 網路安全指引體系，包括 CSF 2.0 與 AI RMF 的配合使用。

Privacy

本期有 3 項隱私相關變動，以 NIST 隱私工程計畫持續推進與歐盟相關法規語言版本修正為主。

NIST Data Privacy Week 隱私工程計畫 — 2026 年計畫持續與利害關係人社群合作，推進隱私風險管理指南以協助各規模組織。屬倡議性質，無新增正式義務。enforcement_signal: informational。
ISO/IEC 27566-1:2025 年齡驗證系統框架 — 建立年齡驗證系統框架，包含隱私與安全核心特性，支援年齡相關資格決策的數位系統設計。rule_type: new，enforcement_signal: recommended。
歐盟隱私相關勘誤 — 多項 2024 年通過法規的語言版本技術修正，無實質隱私義務變動。

Supply Chain

本期有 6 項供應鏈相關變動，以 SSDF v1.2 草案、NIST IR 8536 供應鏈追溯框架、ISO 22373:2025 供應鏈信任框架為重點。

NIST SSDF Version 1.2 草案 (SP 800-218r1) — 安全軟體開發框架修訂版公開徵求意見，擴充安全軟體開發實務作法與範例，回應 EO 14306 要求。影響軟體開發者、軟體採購者、供應鏈安全管理者。公開徵詢截止日期 2026-01-30。status: public_comment，enforcement_signal: recommended。
NIST IR 8536 供應鏈追溯框架 — 製造元框架第二次公開草案，提供製造業供應鏈追溯能力建構指引，擴展組織在供應鏈可見性和追溯性管理方面的責任範圍。status: public_comment。
NIST 軟體開發安全聯盟 — 組建聯盟推動軟體開發安全指引改進，徵求 public comments 至 2025-09-12，並於 2025-08-27 舉辦虛擬活動收集回饋。
ISO 22373:2025 供應鏈信任框架 — 建立可信供應鏈與價值鏈框架，支援利害關係人確保產品與生產流程的可信賴性屬性，提供可互通的資料結構供協商與交換相關資訊。rule_type: new，status: final，enforcement_signal: recommended。
ISO/IEC 25706:2026 安全協定與資料模型 — SPDM 技術標準集合，由 ISO/IEC JTC 1 制定，ICS 代碼 35.030。適用於硬體安全模組與安全協定開發。rule_type: new，status: final，發布日期 2026-02-03。
NIST IR 8349 IoT 裝置特徵化 — 最終版發布，提出 IoT 裝置網路行為特徵化方法論，產出符合 MUD（Manufacturer Usage Description）規格的檔案，並提供 MUD-PD 開源工具。status: final。

Identity

本期有 4 項身分認證相關變動，以 NIST IR 8523 刑事司法系統 MFA 與 SP 800-63B 同步認證器補充指引為重點。

NIST IR 8523 刑事司法系統多因素認證 — 最終版發布，針對執法機關實作 MFA 提供技術指引，以符合 CJIS Security Policy 5.9.2 版後的強制要求。涵蓋 CAD（computer-aided dispatch）與 RMS（record management systems）的標準化 MFA 架構。document_id: NIST IR 8523，status: final，enforcement_signal: mandatory，發布日期 2025-09-03。
NIST SP 800-63B 同步認證器補充指引 — 首次為數位身分指引發布補充文件，提供同步式驗證器（如 passkeys）的過渡期指引，涵蓋企業與公眾面向使用場景。status: final，enforcement_signal: recommended。
ISO/IEC TS 29196:2025 生物辨識註冊指引 — 提供生物辨識註冊流程的成功、安全與可用性實作指引，涵蓋強制性有人參與的固定地點註冊情境。rule_type: new，status: final，發布日期 2025-12-12。
ISO/IEC 19896 系列 IT 安全評估人員能力要求 — 發布 Part 1（概述與概念）、Part 2（測試者與驗證者）、Part 3（評估者與審查者）多項標準，建立 IT 安全符合性評估機構人員能力要求。rule_type: new，status: final。

Critical Infrastructure

本期有 5 項關鍵基礎設施相關變動，以 IoT 安全指引演進、ISO 韌性標準為重點。

NIST IR 8259 物聯網裝置製造商網路安全修訂 — 修訂物聯網裝置製造商基礎網路安全活動指引，自 2024-11 研討會後啟動修訂程序。原版於 2020 年 5 月發布，旨在協助製造商降低客戶端的資安工作負擔。status: revision in progress。
NIST 物聯網網路安全指引五年回顧 — 回顧 2020 年《物聯網網路安全改進法》通過五年後的演進，說明 NIST IR 8259 作為「早期建築基石」的實施成果與演進方向。
ISO 22372:2025 基礎設施韌性指引 — 提供建立、維護、監控和改進基礎設施韌性的指引，支援跨組織利害關係人的協作決策，確保基本服務的持續性與穩健性。rule_type: new，status: final，enforcement_signal: recommended。
ISO 22366:2026 能源韌性框架 — 提供組織能源韌性的框架與原則，涵蓋韌性工程與管理原則，適用於能源供應網路。rule_type: new，status: final，發布日期 2026-01-08。
ISO/IEC 29192-1:2012/Amd 1:2025 輕量級密碼學修訂 — 輕量級密碼學標準第 1 部分通則的修訂案，由 ISO/IEC JTC 1/SC 27 制定。rule_type: amendment，status: final。

責任變動追蹤

文件	affected_roles	shift_type	shift_summary
NIST SP 800-53 Rev. 5.2.0	聯邦機構資訊系統、軟體開發商（聯邦供應商）、系統整合商與維運團隊	expanded	新增 SA-15（紀錄標準化）、SI-02(07)（根因分析）、SA-24（韌性設計）三項控制項
ISO/IEC TS 27103:2026	CISO、網路安全架構師、合規管理人員、風險管理人員	clarified	更新網路安全框架整合 ISO/IEC 標準的指引，取代舊版標準 72437
NIST SP 800-232 (Ascon)	IoT 裝置製造商、嵌入式系統開發者、醫療裝置製造商、汽車供應商	new	資源受限裝置密碼學標準定案，需採用 Ascon 系列演算法
NISTIR 8596	AI 採用各階段組織、資安專業人員、企業領導層、AI 整合決策者	new	首個 AI 網路安全框架配置檔，要求 AI 採用時同步發展資安策略
SP 800-218r1 (SSDF v1.2)	軟體開發者、軟體採購者、聯邦機構、供應鏈廠商	expanded	擴充安全軟體開發實務作法與範例，回應 EO 14306
NIST IR 8523	執法機關資訊系統管理員、CJIS 系統供應商、911 調派中心	new	刑事司法資訊系統須實作符合 CJIS Security Policy 5.9.2 的 MFA 機制
ISO 22373:2025	供應鏈管理人員、價值鏈利害關係人、採購團隊	new	建立可信供應鏈與價值鏈框架，支援可信賴性屬性協商與交換
ISO 22372:2025	基礎設施管理者、韌性規劃人員、服務連續性管理者	new	提供基礎設施韌性建立與維護指引
NIST IR 8349 (MUD)	IoT 裝置製造商、網路設備供應商、企業網路管理員	new	IoT 裝置網路行為特徵化方法論與 MUD 規範實作
ISO 27799:2025	醫療組織資安管理人員、CISO、合規人員	new	基於 ISO/IEC 27002:2022 的醫療資訊安全控制指引

L5 — Evolution Signals

[系統推論] 行政命令驅動的合規壓力持續升級 — SP 800-53 Rev. 5.2.0 與 SSDF v1.2 均直接回應 EO 14306，軟體更新、修補管理與安全開發已從最佳實踐轉為聯邦系統強制要求。多項草案的公開徵詢期已於 2026-01-30 截止，預示 2026 年 Q1-Q2 將有多項標準正式生效，聯邦供應商應提前準備合規證據。
[系統推論] ISO 與 NIST 框架整合趨勢明確 — ISO/IEC TS 27103:2026 的發布顯示國際標準組織正積極提供框架整合指引，協助組織在 NIST CSF、ISO 27001 等多框架環境中建立一致的控制措施對應。此趨勢將降低多框架合規的重複工作負擔，但也要求組織具備跨框架對應的專業能力。
[系統推論] 輕量級密碼學標準進入實作階段 — NIST SP 800-232 Ascon 標準定案與 ISO/IEC 29192-1 修訂顯示，資源受限裝置的密碼學保護已從研究階段進入標準化實作階段。IoT、醫療裝置、汽車電子等產業需評估 Ascon 演算法的產品整合時程。

統計

指標	數值
總變動數	50
rule_type 分布	new: 15, revision: 6, final: 8, draft: 5, amendment: 6, guidance: 8, 其他: 2
enforcement_signal 分布	mandatory: 8, recommended: 28, informational: 12, 未標註: 2
REVIEW_NEEDED	1 筆（SUSHI@NIST 工作坊）

資料來源

Layer	筆數	時間範圍
nist_frameworks	18	2025-07-22 ~ 2025-12-17
nist_cybersecurity_insights	12	2024-02-26 ~ 2026-01-27
iso_standards	20	2025-11-19 ~ 2026-02-06

報告產出時間：2026-02-15