ASIC表示澳大利亚金融市场的网络安全风险管理正在改善

澳大利亚证券和投资委员会(ASIC)表示，澳大利亚金融市场的网络安全风险意识和管理正在改善，但整个行业仍有改进的空间。

公司监管机构在一份新的报告中发表了上述言论。该报告汇总了金融市场公司完成的自我评估调查得出的趋势。

ASIC报告651，澳大利亚金融市场企业网络弹性:2018-19是对2017年报告555，澳大利亚金融市场企业网络弹性的更新。

在2017年和2018年，ASIC要求参与者评估他们在国家技术标准协会(NIST)网络安全框架下的网络弹性。

NIST框架允许公司根据以下五个功能来评估网络弹性:识别、保护、检测、响应和恢复，使用他们现在和12-18个月后的成熟度等级。

更多阅读:NIST网络安全框架:专业人员备忘单(TechRepublic)

ASIC写道:“自555报告以来，在澳大利亚市场运营的公司的网络弹性有所改善，在第一轮和第二轮之间，所有网络弹性功能的平均增幅为15%。”

“各机构对其业务面临的网络安全威胁保持警惕，并已将资源和努力集中于改善其网络安全治理、风险管理、响应和恢复能力。”

ASIC表示，尽管企业的网络弹性有所改善，但许多企业发现，要达到第一周期设定的目标颇具挑战性，原因在于设定的目标过于雄心勃勃，威胁环境不断变化，组织能力有限，获得专业技能和资源的途径有限。

第一周期和第二周期之间当前网络弹性成熟度的改善(按功能)。

报告称，大型企业的网络安全治理、风险策略和管理“呈上升趋势”，其中90%被标记为可重复或可适应。

资产管理和供应链风险管理已经被许多大公司孤立为改进的领域。

ASIC表示，91%的公司对用户访问管理进行了“严格管理”，这表明用户访问管理具有可重复性和适应性。ASIC表示，大型公司也在扩大监控和检测能力的范围，60%的公司被标记为可重复，20% - 25%的公司被标记为可适应。

参见:从7月1日起，澳大利亚金融公司的董事会将面临更严格的信息安全规定

ASIC补充称:“许多公司投资于安全运营中心，这些中心拥有熟练的团队，能够主动监控针对其组织的威胁。”

这家企业监督机构表示，他们可以看到应对计划和缓解行动计划的显著改进，以及确保事件在发生时得到“遏制、不传播、尽快中和”的改进。

与此同时，报告指出，中小企业自第一个周期以来已经取得了良好的进展，但还需要进一步的改进。80%的中小企业认为自己在网络安全风险治理方面是可重复的或更好的。

ASIC表示，中小企业在检测能力方面取得了显著进步，持续监测能力提高了25%。

超过80%的中小企业报告他们的网络安全成熟度是可重复的或可适应的，ASIC称这是第一个周期的“重大改进”。