Tại Úc, an ninh thông tin không được điều chỉnh bởi một đạo luật duy nhất mà chịu ảnh hưởng bởi nhiều khung pháp lý rời rạc như PSPF, ISM, ISO 27001, PCI DSS, và Đạo luật Quyền riêng tư (Privacy Act).

   - PBR trao quyền cho tổ chức tự xác định cách tuân thủ dựa trên nguyên tắc chung, khiến chuyên viên bảo mật trở thành người thực thi quy định thay cho cơ quan quản lý.

   - Các chuyên viên mô tả công việc hàng ngày là đàm phán, giao tiếp, quản lý mối quan hệ – không phải kiểm soát kỹ thuật như lý thuyết truyền thống.

   - Định nghĩa về “an ninh thông tin” rất đa dạng: từ bảo vệ tài sản, bảo vệ dịch vụ, đến “cách sống” hay “giá trị đạo đức”.

   - Khái niệm “rủi ro” được sử dụng như ngôn ngữ giao tiếp với doanh nghiệp, nhưng không phải lúc nào cũng hiệu quả – nhiều người đề xuất dùng ngôn ngữ lợi nhuận thay vì mối đe dọa.

   - Tuân thủ pháp lý rất phức tạp: ít người nhắc đến Đạo luật Quyền riêng tư, tiêu chuẩn được dùng linh hoạt, và “tuân thủ” thường bị xem là “tick-box” hơn là đảm bảo an ninh thực sự.

   - Các chuyên viên mong muốn an ninh thông tin được xem là “công cụ hỗ trợ” thay vì “rào cản” – đòi hỏi kỹ năng mềm như đàm phán, thuyết phục, hiểu văn hóa tổ chức.

   - Tác giả đề xuất cần tái định nghĩa nghề nghiệp an ninh thông tin, phát triển chương trình đào tạo kỹ năng mềm, và xây dựng cơ chế đối thoại chặt chẽ giữa cơ quan quản lý (OAIC) và cộng đồng chuyên viên.