XDA智能手机网 - 第一智能手机评述媒体
科技您的位置:首页 >科技 >

ASD Essential Eight网络安全控制不是必需的

发布时间:2019-04-23 16:53:24 来源:

澳大利亚信号局(ASD)通过其澳大利亚网络安全中心(ACSC)建议所有组织实施其基本八项控制措施,以减轻网络攻击。线索就在名字中。

但对整个澳大利亚政府而言,并非如此。

本月初发布的一项 全政府对长期议会调查的回应,只是“指出”该调查 建议 对所有政府机构强制执行基本八项控制措施,但拒绝超越“强烈推荐”四项他们。

“Essential Eight代表ASD对实体可以采取的减轻网络事件威胁和管理风险的最佳建议。但是,当网络安全成熟度越来越高时,政府将考虑强制执行Essential Eight,”说过。

“由于每个实体的独特风险环境和运营,实体内的基本八项战略的网络安全成熟度和实施目前都是每个问责机构的合规和风险管理问题。”

不强制要求高度重视的网络安全控制的决定与响应的定位声明不一致。

“保护澳大利亚免受网络威胁是我们面临的最大的国家安全挑战之一,”该回应称。

“政府致力于确保所有英联邦实体提高其网络安全水平,并了解他们面临的风险。”

这也与政府网络安全框架内控制的定位不一致。

八重奏如何成为必不可少的,然后不是

该 基本八 是 发表在2017年2月,是网络安全的同时控制优先级列表,开发真实世界的数据ASD的分析之后的2011年ASD屡获殊荣的热门四大战略的延伸。

该机构在2017年写道:“ACSC建议所有组织将基本八强作为基准,并根据37战略的其他缓解策略 ,基于其业务最关注的风险和网络安全威胁。”

到2018年12月,基本要素8已成为政府新 信息安全手册 (ISM)的核心部分 ,并且在2019年2月,ACSC的 基本八成熟度模型 要求全面实施 完全符合ISM的控制措施。

与此同时, 2017年初成立了一个公共账户和审计联合委员会(JCPAA) 调查,以调查 澳大利亚国家审计署(ANAO)令人失望的网络安全审计。

在经过审计的三个重要政府机构中,只有人类服务部(DHS)遵守了总检察部门的保护性安全政策框架 (PSPF)规定的四大战略 。

国土安全部是唯一一个对前四名进行正确自我评估的机构。它也是唯一一个“网络弹性”,或者能够“继续提供服务,同时阻止和应对网络攻击”。

移民和边境保护局(DIBP)现在是内政部(DHA)和澳大利亚税务局(ATO)的一部分,被认为是“内部弹性”,但总体上并不合规。

2017年10月,JCPAA 根据审计长报告42(2016-17)发布了 报告 “ 网络安全合规性调查”。

该委员会达成了非必然的结论,即 必要的手段必不可少。

在本月的政府回应中,委员会的八项建议中有六项得到了同意。所有与报告安排有关的事项都是无可争议的。第七项建议被提交给ANAO,因为它是一个独立的机构。

那么为什么强制执行基本八强的建议被忽略了?

是的,网络安全成熟度需要“跨实体增加”,但确定目标是良好的战略管理,即使代理商有时间表可以实现这些目标吗?

该 基本八个成熟度模型 甚至给机构一个三阶段过程中遵循。

一个 详细的分析 ,在政府部门的网站 普通话 提供了一些线索。

“委员会的一些成员认为现在有更强的强制性要求 - 或者至少更紧迫地满足现有要求 - 可能会鼓励网络成熟度更快地提高,” 普通话 报道。

但正如JCPAA成员Gai Brodtmann在最近的听证会上指出的那样,“显然,强制性对于我们的政府机构来说并不明确”。

“显然,政府需要明确表示我们需要100%的合规性,并且作为该流程的一部分,它是强制性的;它不是人们在过去五年中一直在推行的可选项目,”她说。

各机构报告说,他们可能没有资源或专业知识,抱怨“预算紧张”,政府网络安全采取“拼凑方式”。

DHA此前曾指责“巩固传统ICT环境”的挑战。

阅读这篇分析,你的作者不禁觉得这不是一个无所不能的态度。这是一个无法做到的事情。这还不够好。

与所有议会委员会一样,JCPAA已于5月18日即将举行的联邦选举前解散,其调查已经失效。

不过,其主席在 声明[PDF]中表示,该委员会“预计将继续调查网络复原力,并在未来几个月举行进一步的公开听证会”。

热点推荐
随机文章