Den australiensiska regeringen har flaggat sin avsikt att ge mandat till Essential Eight-strategierna för minskning, trots att många enheter inte helt slår huvudet runt de fyra bästa.
Sedan 2013 har icke-företags Commonwealth-enheter (NCCE) varit skyldiga att genomföra en årlig självbedömning mot de fyra främsta strategierna, som är uppdraget av den advokatsekretariats avdelning (AGD) Protective Security Policy Framework (PSPF). Enheter rapporterar övergripande efterlevnad av obligatoriska krav till AGD.
Gemensamma kommittén för offentliga räkenskaper och revision (JCPAA) granskade förra året ett par rapporter från Australian National Audit Office (ANAO). En rapport om denna sond från JCPAA i december frågade AGD om det var möjligt att ge mandat till Essential Eight, ett samtal som utskottet gjorde i oktober 2017, samt rapportera om varför några enheter ännu inte har genomfört de fyra bästa mandaterna i april 2013.
Se även: ASD Essential Eight cybersecurity-kontroller är inte nödvändiga: Canberra
I sitt svar [PDF] till JCPAA sa AGD att det fortfarande är fast beslutet att upprätthålla robusta skyddsstandarder för att säkerställa att PSPF stöder enheter för att hantera sina risker.
“Avdelningen har noggrant övervägt … och har haft detaljerade diskussioner med [australiensiska cybersäkerhetscentret] om cybersäkerhetsinställningar i PSPF, “skrev AGD. p>
“Detta återspeglar ACSC: s råd att enheter ska utveckla mognad inom alla åtta strategier … snarare än att fokusera insatserna på en mindre delmängd som de fyra bästa, eftersom detta ger en högre skyddsnivå.”
AGD sa en sådan tillvägagångssätt har godkänts av regeringens säkerhetskommitté, som är en interdepartemental kommitté som tillhandahåller strategisk övervakning av den skyddande säkerhetspolitiken.
Även om den är angelägen om att göra Essential Eight nödvändig, säger AGD att detta skulle ha en inverkan på enheter som krävs för att implementera dem.
“Som ett resultat har avdelningen inlett samråd med de 98 NCCE om konsekvenserna av detta förslag,” tillade det. “Avdelningen förväntar sig svar från NCCE i slutet av juni 2021.” av JCPAA: s rekommendationer var att AGD uppdaterade kommittén om sin benchmarkingprocess för Commonwealth-enheters rapporterade efterlevnad av cybersäkerhetskraven.
Se även: Labour vill namnge och skämma fattig Commonwealth-enhet cyberställning
ANAO i mars publicerade resultaten av en undersökning om effektiviteten hos cybersäkerhetsriskreduceringsstrategier som implementerats av sju myndigheter, och förklarade att ingen har genomfört helt alla obligatoriska riktmärken och att självrapporteringen var svag.
AGD sa till JCPAA att det “undersöker alternativ, inklusive moderering, för att ytterligare stödja enheter för att förbättra noggrannheten i deras självbedömningar”.
“Dessutom granskar avdelningen också den befintliga löptidsmodellen för att säkerställa att den är lämplig för ändamålet”, sa den. byråernas ansvar, inte oss, AGD och ASD säger Kommittén träffar spärren i sonderande Commonwealth-cybersäkerhetsprestanda Besvikelsen över Australiens nya cybersäkerhetsstrategi Cyber måste vara en del av all fara nationell motståndskraft: inrikeschef
Relaterade ämnen:
Australia Security TV CXO-datacenter för datahantering 