DRAFT Code of Practice— Securing the Internet of Things for Consumers（實務守則(草案): 保障消費者物聯網安全）是提高澳大利亞物聯網設備安全性的第一步。該草案確認了十三個基本原則。

1 禁止重複的默認密碼或弱密碼：物聯網設備(以及相關的後端/雲賬戶) 的密碼應該是獨特的，不可預測的，複雜的，不可猜測的，不可恢復的指向多個設備通用的任何工廠默認值。

2.實現漏洞披露政策：物聯網設備製造商、物聯網服務提供商和移動應用開發人員應該提供一個公共接觸點作為漏洞披露政策的一部分，以便安全研究人報告問題。

3.保持軟體安全更新：物聯網設備上的軟體(包括固件)，包括第三方和第三方開源軟體以及相關的web服務應該進行安全更新。更新應該及時，不影響設備的功能。

4.安全儲存憑證和安全敏感數據：任何憑據都應該安全地存儲在設備和服務中。硬編碼憑證(例如用戶名和密碼)不應該是嵌入設備軟體或硬體，因為它們可以通過逆向工程被發。

5.確保個人資料保護：當設備和/或服務處理個人數據時，它們必須根據數據保護相關法律運行，例如《1988年隱私法》和《澳大利亞隱私準則》。

6.減少暴露的攻擊面：硬體不應該不必要地暴露訪問許可權(例如，不需要的埠應該關閉，web管理介面應該只對本地用戶開放網路，除非設備需要通過互聯網遠程管理) 。

7.確保通信安全：安全敏感數據，包括任何遠程管理和控制，應在傳輸過程中加密，以適應技術和使用的屬性。所有的證書和證明都應該是安全管理。

8.確保軟體的完整性：物聯網設備上的軟體(包括固件)應該通過安全啟動機制進行驗證。如果檢測到未授權的更改，則設備應該提醒使用者/管理員一個問題，並且應該不連接除必要的報警功能之外的更廣泛的網路。

9.提高系統對中斷的彈性：提高物聯網設備和服務及其依賴系統對於數據或電力中斷的彈性 ，考慮到數據網路和電力的中斷的可能性。

10.監測系統遙測數據：如果從物聯網設備和服務中收集到遙測數據，如使用和測量數據，則應監測其是否存在安全異常。

11.方便消費者刪除個人資料：設備和服務的設置應確保當使用者希望刪除它和/或當使用者希望處理該設備時，有所有權轉移時的個人數據可以很容易被移除。

12.使設備的安裝和維護變得容易：物聯網設備的安裝和維護應盡量減少步驟，並且遵守澳大利亞政府關於安全最佳實踐的步驟和經驗還應向消費者提供清晰和直接的指導，以安全地設置他們的設備並且利用它的生命周期來維護它。

13.驗證輸入數據：在設備和服務中，通過用戶介面輸入和通過應用程序編程介面或網路傳輸的數據應該被卻。確保數據輸入得到授權並符合預期。

DRAFT Code of Practice— Securing the Internet of Things for Consumers（實務守則(草案): 保障消費者物聯網安全）所確立的十三個原則是該草案的核心內容，對於保護澳洲消費者的物聯網安全具有重要意義。