澳大利亚政府希望使Essential Eight变得必不可少
澳大利亚政府已表示有意强制实施八项基本缓解战略,尽管许多实体尚未完全理解前四项战略。
自2013年以来,非企业联邦实体(NCCEs)已被要求对四大战略进行年度自我评估,这是由总检察长部门(AGD)保护性安全政策框架(PSPF)授权的。实体向AGD报告其总体符合强制性要求的情况。
公共账目和审计联合委员会(JCPAA)去年审查了澳大利亚国家审计署(ANAO)的两份报告。去年12月,JCPAA就这一调查发表了一份报告,询问AGD是否可以强制执行关键八项指标(该委员会于2017年10月致电该委员会),并反馈了为何任何实体尚未执行2013年4月授权的前四项指标。AGD在回应JCPAA时表示,它仍致力于维持健全的保护性安全标准,以确保PSPF支持实体管理其风险。
AGD写道:“该部门已经仔细考虑并与(澳大利亚网络安全中心)就PSPF的网络安全设置进行了详细讨论。”
“在此基础上,署方会建议修订公积金计划,以委任八项基本计划。”
“这反映了ACSC的建议,即实体应在所有8个战略中推进成熟度而不是把精力集中在一个较小的分支上,比如Top Four,因为这提供了更高水平的保护。”
AGD表示,这种方法已得到政府安全委员会的支持,这是一个跨部门委员会,对保护性安全政策提供战略监督。
尽管AGD渴望让Essential Eight变得至关重要,但AGD表示,这样做将对实施它们所需的实体产生影响。
报告补充说:“因此,屋宇署已就这项建议的影响,与98个非中心进行谘询。”“该部门希望NCCEs在2021年6月底之前做出回应。”
它还在准备PSPF的修正案草案,并表示目前正在考虑实施的时间框架。
JCPAA的另一个建议是AGD更新委员会的基准程序,以满足联邦实体报告的网络安全要求。
今年3月,ANAO公布了一项针对7个政府实体实施的网络安全风险缓解战略有效性的调查结果,并宣布没有一个实体完全执行了所有的强制性基准,自我报告能力较弱。
AGD向JCPAA表示,它正在“探索包括适度在内的多种选择,以进一步支持实体提高其自我评估的准确性,此外,财政部还在审查现有的成熟度模型,以确保其适用。”。