澳大利亚政府希望使Essential Eight变得必不可少

澳大利亚政府已表示有意强制实施八项基本缓解战略，尽管许多实体尚未完全理解前四项战略。

自2013年以来，非企业联邦实体(NCCEs)已被要求对四大战略进行年度自我评估，这是由总检察长部门(AGD)保护性安全政策框架(PSPF)授权的。实体向AGD报告其总体符合强制性要求的情况。

公共账目和审计联合委员会(JCPAA)去年审查了澳大利亚国家审计署(ANAO)的两份报告。去年12月，JCPAA就这一调查发表了一份报告，询问AGD是否可以强制执行关键八项指标(该委员会于2017年10月致电该委员会)，并反馈了为何任何实体尚未执行2013年4月授权的前四项指标。AGD在回应JCPAA时表示，它仍致力于维持健全的保护性安全标准，以确保PSPF支持实体管理其风险。

AGD写道:“该部门已经仔细考虑并与(澳大利亚网络安全中心)就PSPF的网络安全设置进行了详细讨论。”

“在此基础上，署方会建议修订公积金计划，以委任八项基本计划。”

“这反映了ACSC的建议，即实体应在所有8个战略中推进成熟度而不是把精力集中在一个较小的分支上，比如Top Four，因为这提供了更高水平的保护。”

AGD表示，这种方法已得到政府安全委员会的支持，这是一个跨部门委员会，对保护性安全政策提供战略监督。

尽管AGD渴望让Essential Eight变得至关重要，但AGD表示，这样做将对实施它们所需的实体产生影响。

报告补充说:“因此，屋宇署已就这项建议的影响，与98个非中心进行谘询。”“该部门希望NCCEs在2021年6月底之前做出回应。”

它还在准备PSPF的修正案草案，并表示目前正在考虑实施的时间框架。

JCPAA的另一个建议是AGD更新委员会的基准程序，以满足联邦实体报告的网络安全要求。

今年3月，ANAO公布了一项针对7个政府实体实施的网络安全风险缓解战略有效性的调查结果，并宣布没有一个实体完全执行了所有的强制性基准，自我报告能力较弱。

AGD向JCPAA表示，它正在“探索包括适度在内的多种选择，以进一步支持实体提高其自我评估的准确性，此外，财政部还在审查现有的成熟度模型，以确保其适用。”。