西澳大利亚州审计长将司法部管理的一个系统内的安全控制措施列为“因此,这些措施没有按计划作为监督厅2019年5月信息系统年度报告的一部分。”href=“https://www.zdnet.com/article/wa-auditor-general-report-finds-state-entities-still-dont-get-infosec/“>第11次年度信息系统审计报告于2019年5月提交,包含2018年信息系统审计年度周期的结果。
除了当时公布的数据外,还对西澳大利亚州司法部下属的出生、死亡和婚姻登记处使用的西澳大利亚州登记系统进行了审计。
“审计结果非常令人关注,根据《2006年审计长法案》第7(6)和25(1)节,我决定不在2019年5月提交议会的报告中纳入本申请控制审计结果,“审计长Caroline Spencer在a报告于周四发布。
“我认为,在系统漏洞仍然存在的情况下,发表这些重大发现不符合公众利益。”
斯宾塞说,她的办公室经常发现公共部门实体系统中的弱点,但她说,西澳大利亚州登记系统中数据的性质,以及这些数据的潜在用途,使得她的报告中的调查结果“特别令人关注”。
该系统包含有价值的记录,用于确认人们的身份。出生登记,所有的婚姻,死亡登记。2019年,人们发现该系统没有充分保护其内部信息的机密性和完整性。
“由于数据库控制不足、安全漏洞以及对关键信息更改的监控不足,高度机密和基础信息面临未经授权的访问、更改和披露的风险,“报告说。
报告补充说,灾难恢复计划不足也意味着系统有可能在发生破坏性事件时无法及时恢复。
2019年的审计发现,该部门没有适当地监控信息的获取,也没有进行任何更改。还有11名第三方供应商工作人员可以完全访问数据库,并可以对姓名和生活事件等信息进行更改。
“由于没有对数据库进行记录或审计,登记处将不知道供应商工作人员是否不当地访问或更改了信息,“报告说,
“我们在2020年的后续审计发现,该部已经减少了能够完全访问数据库的员工人数,并制定了一个流程来监控数据库中信息的关键变化。”
审计长说,电子记录的安全性需要改进。报告说,系统内的机密信息不受加密保护,在测试环境中也不会被屏蔽。
2019年发现的安全弱点包括数据库不安全、密码薄弱和个人信息不受保护,这些都允许复制。
报告指出:“我们2019年的审计发现,系统没有得到充分保护,不受网络攻击的威胁。”,他补充说,自那以来,国防部一直在努力提高其脆弱性管理能力。
审计长提出了一些建议,其中四项建议将于2021年6月完成,另一项建议将于2021年12月完成,最后一项建议是关于实际更名程序的建议,正在等待立法通过后才能实施。
“为提高国防部的脆弱性管理能力,已将数据库安全控制纳入信息和通信技术治理框架,以确保持续审查和加强,“Justice在回复中写道。
它还开发了一个审计流程来监控数据库中信息的关键更改。
