事件经过
澳大利亚信号局发布了其信息安全手册(ISM)的2026年6月版本(261页),新增和修订了包含明确AI安全内容的控制措施。新增控制措施包括:ISM-2121要求在项目中不使用具有不足网络安全知识的软件开发人员;推荐使用AI模型来增强漏洞评估和渗透测试的控制措施;推荐具有AI模型的威胁情报服务用于事件检测;以及三项新的OPSEC控制措施(包括ISM-2107),限制人员在未经授权的平台上发布与工作相关的技能、职责和安全许可。所有澳大利亚政府机构和处理政府数据的组织必须遵守ISM。
影响分析
ASD ISM是所有澳大利亚政府机构的强制性基准,也是政府承包商的事实标准。2026年6月更新是首次将AI特定开发审查和AI增强安全测试作为规范性控制措施纳入其中,标志着安全运营中的AI工具现在是澳大利亚的合规要求,而非可选项。
建议行动
澳大利亚政府机构:审查ISM 2026年6月更改文档;确保开发人员审查流程满足ISM-2121;更新渗透测试和漏洞评估程序以反映AI增强控制措施。