标准简介
Essential Eight 是由 澳大利亚网络安全中心(ACSC),澳大利亚信号局(ASD) 发布的有效(指南,非认证标准)标准,常用于政府、科技、金融银行、服务业等行业,并适用于澳大利亚、亚太地区等市场。
本页汇总了 Essential Eight 的官方文档、当前状态以及常见相关认证或评估机构,便于快速理解要求与落地路径。
实施路线图
定义澳大利亚网络缓解成熟度范围
识别 Essential Eight 覆盖的产品、服务、系统、实体、司法辖区、团队、供应商、数据流和相关方。确认责任人、边界、适用义务、文件和证据期望,范围包括应用程序控制、修补应用程序、配置 Microsoft Office 宏、用户应用加固、限制管理员权限、修补操作系统、多因素认证、定期备份、目标成熟度、例外和监控。
评估义务和差距
将当前实践与预期的澳大利亚网络缓解成熟度方法进行比较。审查成熟度目标选择、控制范围界定、允许列表、补丁 SLA、宏控制、浏览器和应用加固、特权访问管理、MFA 执行、备份测试、例外治理和持续评估,并按法律暴露、安全或安保影响、客户承诺、运营依赖、报告期限和保证准备度排列差距优先级。
实施控制和证据
部署所需程序、技术控制、评审关口、培训、供应商流程、报告路径和运行记录。维护成熟度评估、控制登记册、允许列表记录、补丁报告、宏策略证据、加固基线、特权访问评审、MFA 记录、备份测试结果、例外批准和监控报告作为可追溯证据。
评审、报告并改进
开展管理评审、内部检查、适用情况下的测试或独立评估、纠正措施和变更评审。当产品、供应商、法律、事件、报告周期或相关方期望变化时刷新项目。
合规检查清单
checklist 范围与问责
checklist 控制与记录
checklist 监控与保证
常见问题解答
谁需要 Essential Eight?
expand_more
Essential Eight 最适用于为互联网连接 IT 网络实施 ASD 缓解策略的澳大利亚政府实体、关键基础设施组织、企业和供应商。具体范围取决于产品、服务、司法辖区、报告义务、客户承诺、技术要求,以及组织在相关生态中的角色。
Essential Eight 是否可认证?
expand_more
Essential Eight 是 ASD 指南和成熟度模型,不是认证。组织选择目标成熟度等级,并逐步实施八项缓解策略。
实施时应先关注什么?
expand_more
先定义范围、义务、责任人,以及监管机构、客户、审计师、保证提供方、认证机构或治理机构期望的证据。然后对照当前控制开展差距评估,并按风险和期限确定整改优先级。
Essential Eight 需要哪些证据?
expand_more
有用证据包括成熟度评估、控制登记册、允许列表记录、补丁报告、宏策略证据、加固基线、特权访问评审、MFA 记录、备份测试结果、例外批准和监控报告。证据应进行版本控制,能够追溯到责任人,关联义务和控制,并按所需评审或审核期间保留。
项目应多久评审一次?
expand_more
应按计划周期评审,并在法律、标准、产品、供应商、事件、报告周期、客户承诺、技术要求或保证期望变化时评审。