培训课程
澳洲出台全新基础设施风险管理计划 企业负责人将担责
根据严格的新规则,企业和政府必须向联邦机构提供年度风险管理报告,关键基础设施的董事会和董事将被要求承担更多责任,以保护澳大利亚人免受网络和物理攻击。
内政部长Clare O’Neil周二将公布关键基础设施风险管理计划,旨在防止去年的Optus和Medibank黑客事件重演,并保护一线服务免受网络和内部攻击。
奥尼尔女士还将推出一个新的关键基础设施复原战略,该战略将为各部门和特定关键基础设施资产的基准风险管理制定监管框架。它是对网络、物理、供应链和内部攻击所带来的威胁的回应,部长称这些恶意行为者试图”破坏我们的基础服务,削弱我们的经济并利用受害者牟利”。
该战略最近一次更新是在2015年,重点关注在前所未有的地缘战略竞争和技术进步中变得日益复杂的新的和正在出现的威胁。阿尔巴尼斯(Anthony Albanese)政府更严厉的关键基础设施制度将影响到在能源、资源、电信、金融、数据存储、医院、食品和杂货、水、货运和广播领域经营资产的公司和各级政府。
虽然不遵守新制度的公司将面临每天10,500澳元的民事处罚,但”最佳实践”系统旨在加强联邦政府机构和私营部门之间的合作。政府还可以对不遵守规定的公司发出履约禁令或可执行的承诺。
根据新规则,监督关键基础设施资产的董事会、理事会和其他管理机构必须批准向联邦监管机构(包括内政部)提交年度风险管理报告。
受澳大利亚审慎监管局(APRA)监管的金融服务公司,包括银行、养老基金和保险公司,根据旨在阻止信息泄露的新审慎标准,面临额外的运营风险要求。
对关键基础设施的网络攻击在大流行期间飙升,并继续升级,国家行为者和犯罪团伙针对的是澳大利亚的老年护理设施、水供应商、医院、食品批发商、教育机构、电信公司、政府部门和议会、保健供应商和运输运营商。
隶属于澳大利亚信号局(ASD)的澳大利亚网络安全中心(ACSC)此前表示,四分之一的网络安全事件报告涉及基础服务。
奥尼尔女士说,我国必须确保”关键基础设施的安全安排与不断变化的威胁环境保持同步,并继续提供我们都依赖的基础服务”。
“关键基础设施日益相互关联的性质暴露了可能导致对我们的安全、经济和主权造成重大后果的漏洞,”她告诉说:”保护我们关键基础设施的最佳方式是通过企业和政府之间的密切合作——一个利用所有各方的专业知识并反映威胁的复杂性和不断变化的性质的联盟”。
在Optus和Medibank黑客攻击事件泄露了数百万澳大利亚人的个人信息之后的几个月,关键基础设施风险管理规则要求运营商识别、预防和减轻数据、供应链和运营的风险。由内政部网络和基础设施安全中心监督的关键基础设施制度,要求公司建立、维护和遵守书面风险管理计划,以管理”危险”的影响。
经营者在确定可能影响其关键基础设施资产的可用性、完整性、可靠性和保密性的威胁时,必须做好应对”全面危害”的准备。
风险管理计划必须解决实质性的风险,包括停工、失去对资产的访问或干扰,以及损害信息和计算机数据的可用性、完整性、可靠性和保密性的相关影响。主要危害包括物理安全、自然灾害、可能破坏资产的关键工作人员造成的内部风险、对数字系统、计算机、数据集和网络的网络威胁,以及对关键供应链的破坏。
风险管理计划必须解决重大风险,包括停工、失去对资产的访问或干扰,以及损害信息和计算机数据的可用性、完整性、可靠性和保密性的相关影响。主要危害包括物理安全、自然灾害、可能破坏资产的关键工作人员造成的内部风险、对数字系统、计算机、数据集和网络的网络威胁,以及对关键供应链的破坏。
政府更新的关键基础设施复原力战略独立于前Telstra老板安迪·潘恩(Andy Penn)领导的新网络安全战略分开,其支持政府和私营部门之间更有力的合作。
澳大利亚公司董事协会(AICD)和网络安全合作研究中心(CSCRC)在10月发布了新的治理原则,以帮助公司加强网络安全风险管理战略。与政府、行业专家和公司董事协商后制定的董事会治理原则被确定为”角色和责任、网络战略发展和演变、将网络纳入风险管理、建立网络弹性文化以及准备和应对重大网络事件”。
风险信号包括网络风险战略没有被列入董事会议程,董事对网络风险缺乏足够的了解,公司对网络安全没有明确的管理责任,以及没有从外部审查网络风险战略。(来源:腾讯网)
