オーストラリア 重要インフラ保護法2022 (サイバーセキュリティの強化等)
こんにちは、丸山満彦です。
オーストラリアの重要インフラ保護法 (2018) の改正案が両院を通過したようです。。。女王の勅許が降りれば法律ということになります。。。改正目的にはサイバーセキュリティの強化もあるようですね。。。
まだざっとしか見ていないのですが。。。
内務大臣の発言
・2022.03.31 (speach) Senate Estimates
● Department of Home Affairs - Cyber and Infrastructure Security Centre: CISC
・2022.03.31 (news) Security Legislation Amendment (Critical Infrastructure Protection) Bill 2022 has been passed by the Parliament
法案に関するWebページ
・Security Legislation Amendment (Critical Infrastructure Protection) Bill 2022
・2022.03.28 Bills Digest [HTML] [PDF]
現行法
・Security of Critical Infrastructure Act 2018
改正に合わせて、CISCが4つのFact Sheetを公表していますね。。。
・2022.03.31 Security Legislation Amendment (Critical Infrastructure Protection) Bill 2022
The Security Legislation Amendment (Critical Infrastructure Protection) Act 2022 | 2022年安全保障法制改正(重要インフラ保護)法 | |
Risk Management Program | リスクマネジメントプログラム | |
Systems of National Significance / Enhanced Cyber Security Obligations | 国家的に重要なシステム/強化されたサイバーセキュリティの義務 | |
CISC Factsheet - Use and Disclosure of Protected Information | 保護された情報の使用と開示 |
強化されたサイバーセキュリティ義務...
What is an Enhanced Cyber Security Obligation? | 強化されたサイバーセキュリティ義務とは? |
Under the ECSOs, the Secretary may require the responsible entity for a SoNS to undertake one or more prescribed cyber security activities. The Secretary must have regard to the cost, the reasonableness and proportionality of the prescribed activity and any other matters the Secretary considers relevant in deciding whether an entity should be required to undertake ESCO’s. | ECSOsに基づき、長官はSoNSの責任主体に対し、1つまたは複数の所定のサイバーセキュリティ活動を行うよう要求することができる。長官は、企業がESCOを実施するよう要求されるべきかどうかを決定する際に、コスト、所定の活動の合理性と比例性、および長官が関連すると考えるその他の事柄を考慮しなければなりません。 |
Cyber Security Incident Response Plan | サイバーセキュリティインシデント対応計画 |
The responsible entity of a SoNS may be required to adopt, maintain and comply with an ‘incident response plan'. They will be required to comply with and regularly review the plan, and take all reasonable steps to ensure the plan is up to date. | SoNSの責任主体は、「インシデント対応計画」を採用し、維持し、遵守することを求められる場合がある。彼らは、計画を遵守し、定期的に見直し、計画が最新のものであることを保証するためにあらゆる合理的な手段を講じることが要求されます。 |
An incident response plan is a written plan detailing how an entity will respond to cyber security incidents that affect its systems. These obligations will assist entities to articulate ‘what to do’ and ‘who to call’ in the event of a cyber incident. This response plan must be provided to the Secretary of the Department of Home Affairs (the Department) as soon as practicable after the adoption. | インシデント対応計画とは、企業がそのシステムに影響を与えるサイバーセキュリティインシデントにどのように対応するかを詳細に記述した計画書です。これらの義務は、企業がサイバーインシデントの発生時に「何をすべきか」「誰に連絡すべきか」を明確にすることを支援するものです。この対応計画は、採択後できるだけ早く内務省の長官に提供されなければなりません。 |
Cyber Security Exercises | サイバーセキュリティ演習 |
The responsible entity of a SoNS may be required to undertake a ‘cyber security exercise’ in relation to the SoNS and against all or one or more types of specified cyber security incidents. | SoNSの責任主体は、SoNSに関連して、すべてまたは1つ以上のタイプの特定サイバーセキュリティインシデントに対して「サイバーセキュリティ演習」を行うよう要求される場合があります。 |
A cyber security exercise is a simulation of a cyber incident. Exercises are generally either a discussion-based or tabletop exercise or an operational or functional exercise. | サイバーセキュリティ演習は、サイバーインシデントのシミュレーションです。演習は一般的に、討論型または卓上演習、または運用型または機能型演習のいずれかです。 |
The entity may be required to allow Departmental officers, or designated officers from the Australian Cyber Security Centre (ACSC), to attend, observe and record the exercise. The entity must prepare an evaluation report following the exercise and provide this report to the Secretary of the Department. The entity may be required to appoint an external auditor to prepare this evaluation. | 事業者は、省庁の職員、またはオーストラリア・サイバー・セキュリティ・センター(ACSC)の指定職員が演習に参加し、観察し、記録することを求められることがあります。事業者は、演習後に評価報告書を作成し、この報告書を省長に提出しなければならない。事業者は、この評価書を作成するために、外部監査人を指名することが求められる場合があります。 |
Vulnerability Assessments | 脆弱性評価 |
The responsible entity of a SoNS may be required to undertake a vulnerability assessment in relation to the SoNS within a specified period. The assessment may be conducted against all or one or more types of specified cyber security incidents. | SoNSの責任主体は、指定期間内にSoNSに関する脆弱性評価を実施するよう求められる場合がある。評価は、指定されたサイバーセキュリティインシデントのすべて、または1つ以上のタイプに対して実施することができる。 |
A vulnerability assessment is a cyber security evaluation of a critical infrastructure asset’s systems. This can include (but is not limited to) evaluating the governance, risk and change management processes for an organisation, as well as a technical verification of systems cyber security controls and system architecture. The Secretary of the Department may require that a Departmental officer perform this vulnerability assessment. | 脆弱性評価とは、重要インフラストラクチャー資産のシステムに対するサイバーセキュリティ評価です。これには、組織のガバナンス、リスクおよび変更管理プロセスの評価、ならびにシステムのサイバーセキュリティ制御およびシステムアーキテクチャの技術的検証を含まれます(ただし、これに限定されるものではありません)。内務省の長官は、内務省の職員がこの脆弱性評価を行うことを要求できます。 |
Under the Act, the Department may ask the ACSC to undertake vulnerability assessments as designated officers. | 同法に基づき、内務省はACSCに対し、指定された担当者として脆弱性評価を実施するよう求めることができます。 |
System Information | システム情報 |
The Secretary of the Department may request a SoNS to provide system information to the ACSC. There are two tiers of reporting obligations on a relevant entity based on the frequency of reporting: | 省長官は、SoNSに対し、ACSCへのシステム情報の提供を要請することができる。関連事業者の報告義務には、報告頻度に基づき2つの段階があります。 |
• The first creates an obligation on a relevant entity of a SoNS to provide periodic reporting of system information. | ・第一段階は、SoNSの関連事業体に対して、システム情報の定期的な報告義務を課すもの。 |
• The second creates an obligation on a relevant entity of a SoNS to provide event-based reporting of system information. | ・第二段階は、SoNSの関連事業体にシステム情報のイベントベースの報告を提供する義務を課すもの。 |
« IPA 2021年度中小企業における情報セキュリティ対策の実態調査報告書 | Main | 米国 GAO 自らのプライバシープログラムを改善し、データ保護の強化をしなければならない by GAOの内部監査部門 »
Comments