Die australische Regierung hat ihre Absicht bekundet, die Minderungsstrategien der Essential Eight vorzuschreiben, obwohl viele Unternehmen ihre Köpfe nicht vollständig um die Top Four ranken.
Seit 2013 müssen Nicht-Unternehmen des Commonwealth (NCCE) eine jährliche Selbstbewertung der Top-Vier-Strategien durchführen, die vom Rahmen für die Protective Security Policy der Generalstaatsanwaltschaft (AGD) vorgeschrieben sind (PSPF). Unternehmen melden ihre Gesamteinhaltung der obligatorischen Anforderungen an AGD.
Der Joint Committee of Public Accounts and Audit (JCPAA) hat letztes Jahr zwei Berichte des Australian National Audit Office (ANAO) geprüft. In einem Bericht des JCPAA im Dezember zu dieser Untersuchung wurde AGD gefragt, ob es machbar sei, die Essential Eight zu beauftragen, einen Anruf des Ausschusses im Oktober 2017 sowie einen Bericht darüber, warum die im April beauftragten Top Four noch von Unternehmen umgesetzt werden müssen 2013.
Siehe auch: ASD Essential Eight-Cybersicherheitskontrollen nicht unbedingt erforderlich: Canberra
In ihrer Antwort [PDF] an die JCPAA sagte AGD, dass sie sich weiterhin für die Aufrechterhaltung robuster Schutzstandards verpflichtet, um sicherzustellen, dass die PSPF Unternehmen beim Management ihrer Risiken unterstützt.
“Die Abteilung hat sorgfältig überlegt … und detaillierte Diskussionen mit dem [Australian Cyber Security Centre] über die Cybersicherheitseinstellungen im PSPF”, schrieb AGD.
“Auf dieser Grundlage wird die Abteilung eine Änderung des PSPF empfehlen, um die Essential Eight zu beauftragen.
p>
„Dies spiegelt den Rat des ACSC wider, dass Unternehmen die Reife aller acht Strategien vorantreiben sollten … anstatt sich auf eine kleinere Untergruppe wie die Top Four zu konzentrieren, da dies ein höheres Maß an Schutz bietet.“
AGD sagte dies Dieser Ansatz wurde vom Regierungssicherheitsausschuss gebilligt, einem abteilungsübergreifenden Ausschuss, der die strategische Aufsicht über die Sicherheitspolitik übernimmt.
Obwohl AGD daran interessiert ist, die Essential Eight unverzichtbar zu machen, sagte AGD, dass dies Auswirkungen auf die Entitäten, die für ihre Implementierung erforderlich sind.
„Infolgedessen hat die Abteilung Konsultationen mit den 98 NCCEs über die Auswirkungen dieses Vorschlags aufgenommen“, fügte sie hinzu. “Die Abteilung erwartet Antworten von den NCCEs bis Ende Juni 2021.”
Sie bereitet auch Änderungsentwürfe zum PSPF vor und prüft derzeit einen Zeitrahmen für die Umsetzung.
Ein weiterer Eine der Empfehlungen des JCPAA war, dass AGD den Ausschuss über seinen Benchmarking-Prozess für die gemeldete Einhaltung der Cybersicherheitsanforderungen durch Commonwealth-Unternehmen auf dem Laufenden hält.
Siehe auch: Labour möchte die schlechte Cyber-Haltung von Commonwealth-Einheiten benennen und beschämen
ANAO veröffentlichte im März Ergebnisse einer Untersuchung der Wirksamkeit von Strategien zur Risikominderung im Bereich der Cybersicherheit, die von sieben Regierungsbehörden umgesetzt wurden, und erklärte, keine habe sie vollständig umgesetzt alle obligatorischen Benchmarks und dass die Selbstauskunft schwach war.
AGD teilte der JCPAA mit, dass sie “Optionen, einschließlich Moderation, prüft, um Unternehmen weiter zu unterstützen, die Genauigkeit ihrer Selbstbewertungen zu verbessern”.
„Darüber hinaus überprüft die Abteilung auch das bestehende Reifegradmodell, um sicherzustellen, dass es für den Zweck geeignet ist“, sagte es.
HIER IST MEHR
ANAO stellt fest, dass zwei Regierungsabteilungen die Cyber-Compliance ungenau selbst gemeldet haben Verantwortung von Behörden, nicht von uns, AGD und ASD: Ausschuss stößt bei der Untersuchung der Commonwealth-Cybersicherheitsleistung auf StraßensperreDie Enttäuschung über Australiens neue CybersicherheitsstrategieCyber muss Teil der nationalen Widerstandsfähigkeit gegen alle Gefahren sein: Chef des Innenministeriums
Verwandte Themen:
Australia Security TV Datenverwaltung CXO-Rechenzentren 