上个月,在公共账户与审计联合委员会(Joint Committee on Public Accounts and Audit)就英联邦实体的网络安全弹性举行的听证会上,联邦反对派在当前的报告要求上戳出了漏洞,并强调在英联邦实体达不到要求时缺乏问责制。
澳大利亚国家审计署(ANAO)面临着火线,该委员会质问为什么保护安全政策框架(PSPF)没有强制所有英联邦实体,以及为什么,考虑到他们被称为必不可少的八个,只有前四个被看。
审计长Grant Hehir当时表示:“在联邦公共部门,由中央授权的规则适用于非企业部门的情况并不少见,但并非所有企业部门都如此。”“你会在很多领域发现这一点,比如采购、拨款,以及PSPF基金。”
在2019年,ANAO网络弹性审计发现29%的机构符合前四名,而60%的部门自我评估发现自己符合前四名。
影子内阁负责网络安全的助理部长蒂姆·瓦茨称这是一个不准确的自我评估。
“如果你看看我们审计的证据,我们可以得出的一个结论是,现有的框架没有推动行为变化,以确保监管立场足够强硬,”赫希尔表示。
“我认为,这些问题更多地是针对负责制定框架的机构,而不是我们。但我们希望看到这个框架的实施能带来网络安全,如果不是,那为什么不呢?其中一部分必须归因于监管框架的稳健性。”
总检察长办公室(AGD)和内政部是主要的监管实体。AGD负责通过PSPF制定政府保护性安全政策指导,包括信息安全。
AGD在听证会结束后向该委员会提交了一份文件,称网络安全是澳大利亚政府的一项重要优先事项。
“PSPF帮助英联邦实体保护其在国内和海外的人民、信息和资产。信息安全的核心要求在PSPF政策8至11中列出,包括敏感和机密信息、获取信息、保护信息不受网络威胁和强大的信息和通信技术系统,”它告诉委员会。
它还表示,澳大利亚网络安全中心(中心)在澳大利亚信号理事会(ASD)导致澳大利亚政府的运营网络安全能力和说这是研究会产生澳大利亚政府的责任信息安全手册(ISM),这是PSPF中引用的主要来源指导组织维护信息网络威胁和发展“强劲”的It系统。
AGD写道:“ISM的目的是概述一个网络安全框架,组织可以利用其风险管理框架来保护其信息和系统免受网络威胁。”
AGD说,PSPF要求非企业联合体实体执行ACSC的八项基本缓解战略中的四项,并“强烈建议全部采用八项”。
“实体还必须考虑ACSC减轻网络安全事件的战略中包含的其他战略,”它补充说。
它还表示,任何有关具体实体及其网络姿态的问题都应直接向他们提出。
它写道:“由于单个联邦实体根据其风险环境负责进行评估,有关在单个实体内实施PSPF的问题最好向该实体提出。”
在上个月对ANAO进行调查之后,国防部也代表ASD提交了一份报告。
国防部指出,向议会提交的关于2019年英联邦网络安全态势的报告,提供了关于英联邦实体网络安全态势的最新信息。
“报告强调,英联邦实体的整体网络安全继续改善,”报告写道。“它承认,在动态和不断演变的威胁环境下,网络安全是一项持续的任务。”
它表示,ASD定期与联邦实体进行合作,提供网络安全建议和援助,而个体实体则负责自己网络和信息的安全。
“网络安全成熟度是一个合规和风险管理问题,每个问责机构都需要在各自独特的风险环境和业务复杂性的背景下进行平衡,”提交的文件继续写道。
“有关个别联邦实体的网络安全状况的问题,最好向相关实体提出。”