ANAO: ऑडिटिंग से कॉमनवेल्थ साइबर सुरक्षा पालन में सुधार नहीं हो रहा है

लेखापरीक्षा कार्यालय ने कहा कि अनिवार्य साइबर सुरक्षा को पूरा नहीं करने के लिए गैर-कॉर्पोरेट राष्ट्रमंडल संस्थाओं को जिम्मेदार नहीं ठहराया गया है सुरक्षात्मक सुरक्षा नीति ढांचे के तहत आवश्यकताएँ, विशेष रूप से साइबर से जानकारी को सुरक्षित रखने का अधिदेश धमकी।

साइबर सुरक्षा सूचना-सुरक्षा-शटरस्टॉक-1738022429.jpg

ऑस्ट्रेलियाई राष्ट्रीय लेखा परीक्षा कार्यालय (एएनएओ) ने कहा है कि वह संसद को रिपोर्टिंग के माध्यम से निरंतर पारदर्शिता पर विचार करता है जहां साइबर सुरक्षा जोखिम सकारात्मक होने का संबंध है, लेकिन यह चिंता बनी हुई है कि यह ड्राइव करने के लिए पर्याप्त नहीं हो सकता है सुधार।

में प्रलेखन [पीडीएफ] लोक लेखा और लेखा परीक्षा की संयुक्त समिति (जेसीपीएए) के लिए तैयार, एएनएओ ने कहा कि यह स्पष्ट है कि अकेले ऑडिटिंग और रिपोर्टिंग से सरकार की साइबर सुरक्षा के अनुपालन में सुधार नहीं हुआ है नीति।

"पीएसपीएफ नीति 10 के तहत अनिवार्य साइबर सुरक्षा आवश्यकताओं को पूरा नहीं करने के लिए गैर-कॉर्पोरेट राष्ट्रमंडल संस्थाओं को जिम्मेदार नहीं ठहराया गया है।" इसने सुरक्षात्मक सुरक्षा नीति फ्रेमवर्क (पीएसपीएफ) नीति 10 के संदर्भ में लिखा, जो साइबर से जानकारी की सुरक्षा पर केंद्रित है धमकी।

"सरकार के भीतर संस्थाओं को जवाबदेह बनाए रखने में जिम्मेदार मंत्रियों का समर्थन करने के लिए मौजूदा ढांचा अनिवार्य आवश्यकताओं के कार्यान्वयन में सुधार लाने के लिए पर्याप्त नहीं है।"

जेसीपीएए ने पिछले साल समीक्षा की थी जोड़ा का रिपोर्टों ANAO से और दिसंबर में प्रकाशित अपनी रिपोर्ट में कई सिफारिशें सौंपीं। सिफारिशों में से एक में ANAO को राष्ट्रमंडल संस्थाओं की साइबर लचीलापन में वार्षिक सीमित आश्वासन समीक्षा आयोजित करने पर विचार करने के लिए कहा गया।

जेसीपीएए ने पूछा, "समीक्षा में इस बात की जांच और रिपोर्ट की जानी चाहिए कि किस हद तक संस्थाओं ने एएनएओ के 13 व्यवहारों और प्रथाओं के ढांचे के साथ संरेखण के माध्यम से साइबर लचीलापन संस्कृति को शामिल किया है।" "समीक्षा में आवश्यक आठ के साथ कॉर्पोरेट और गैर-कॉर्पोरेट संस्थाओं के अनुपालन की भी जांच की जानी चाहिए सूचना सुरक्षा मैनुअल में शमन रणनीतियाँ और जून से शुरू होकर पाँच वर्षों के लिए संचालित की जाएंगी 2022."

एएनएओ ने कहा कि सिफारिश को लागू करने से ऑडिट के दौरान कई व्यावहारिक चुनौतियां सामने आई हैं परिप्रेक्ष्य में, सबसे पहले यह माना जाता है कि संभावित रूप से साइबर सुरक्षा जोखिम संबंधी चिंताएं उठाई गई हैं एएसडी.

"एएसडी ने सलाह दी है कि सिस्टम-स्तरीय रिपोर्ट साइबर जोखिम पैदा करेगी जिसके बारे में उसका मानना है कि यह अस्वीकार्य होगा। यह देखते हुए कि एएसडी तकनीकी विशेषज्ञ है, यह उन जोखिमों का आकलन करने के लिए सबसे अच्छी स्थिति में है और इसलिए एएनएओ के लिए एक अलग दृष्टिकोण रखना मुश्किल है," यह कहा।

एएनएओ भी सिफारिश में प्रस्तावित दायरे को चुनौतीपूर्ण मानता है, यह देखते हुए कि केवल गैर-कॉर्पोरेट राष्ट्रमंडल संस्थाओं को पीएसपीएफ लागू करना अनिवार्य है। इसमें कहा गया है कि यह तथ्य कि वर्तमान में 98 गैर-कॉर्पोरेट संस्थाएं नीति के अधीन हैं, ने भी एक चुनौती पैदा कर दी है।

"संस्थाओं द्वारा अपने स्व-मूल्यांकन में एजीडी को रिपोर्ट की गई सामग्री पर आश्वासन की अनुपस्थिति का मतलब है कि ऑडिट प्रक्रियाएं होंगी सटीकता सुनिश्चित करने के लिए संस्थाओं के स्व-मूल्यांकन (संपूर्ण या जोखिम-आधारित नमूना) की आबादी में आयोजित किए जाने की आवश्यकता है," ANAO जोड़ा गया.

इसमें यह भी कहा गया कि सीमित आश्वासन प्रक्रियाओं के परिणामस्वरूप रिपोर्ट नहीं बनती है, जो संसद को साइबर सुरक्षा आवश्यकता के वास्तविक कार्यान्वयन के बारे में सूचित करती है।

"वर्तमान ANAO वित्तीय विवरण ऑडिट (आईटी नियंत्रण) और दोनों में साइबर सुरक्षा में काम करता है प्रदर्शन ऑडिट से संकेत मिलता है कि ANAO को सटीकता के साथ समस्याएं मिलने की संभावना है आत्म-मूल्यांकन, "यह लिखा।

"सटीकता के मुद्दे पाए जाने की स्थिति में, एएनएओ यह निष्कर्ष निकालेगा कि रिपोर्ट पर भरोसा नहीं किया जा सकता है, लेकिन यह रिपोर्ट नहीं करेगा कि संस्थाएं वास्तव में पीएसपीएफ की आवश्यकताओं को पूरा करती हैं या नहीं।"

ANAO: ऑडिटिंग से कॉमनवेल्थ साइबर सुरक्षा पालन में सुधार नहीं हो रहा है

ANAO: ऑडिटिंग से कॉमनवेल्थ साइबर सुरक्षा पालन में सुधार नहीं हो रहा है

संबंधित कवरेज

श्रेणियाँ

अभिलेखागार