This is an HTML version of an attachment to the Freedom of Information request 'Penetration Test Reports from 2021'.

Our Ref 
LEX 401 
Steven Roddis 
Right to Know 
By email: 
Dear Mr Roddis 
Your Freedom of Information request - Decision 
I refer to your request, received by the Department of Employment and Workplace Relations 
(department) on 10 August 2022, for access under the Freedom of Information Act 1982 (FOI Act) to 
the following documents: 
“Penetration Test Reports from the year 2021.” 
On 16 August 2022, I wrote to you to clarify that the department interpreted your request to be 
seeking access to copies of the Penetration Test Reports from 1 January 2021 to 31 December 2021. 
My decision 
I have decided that the material within the scope of your request is conditionally exempt under 
subsection 47E(d) of the FOI Act, on the basis that its disclosure would, or could reasonably be 
expected to, have a substantial adverse effect on the proper and efficient conduct of the operations 
of the department, and further, disclosure of this material would be contrary to the public interest. 
I have also decided that the material is exempt under paragraph 37(2)(b) of the FOI Act, on the basis 
that its disclosure would, or could reasonably be expected to, amongst other things, disclose lawful 
methods or procedures for investigating, preventing, detecting or dealing with breaches of the law 
where disclosure of those methods would be reasonably likely to reduce their effectiveness. 
GPO Box 9880, Canberra ACT 2601 | Phone 1300 488 064 | | ABN 96 584 957 427 

Reasons for decision 
Section 47E(d) of the FOI Act - Substantial adverse effect on the proper and efficient conduct of the 
operations of an agency 
Section 47E of the FOI Act relevantly provides:  
A document is conditionally exempt if its disclosure under this Act would, or could reasonably be 
expected to, do any of the following:  
(d) have a substantial adverse effect on the proper and efficient conduct of the operations of 
an agency.  
Penetration testing involves the identification of potential gaps and vulnerabilities within an entity’s 
IT infrastructure and the exploitation of any vulnerabilities identified to provide information to the 
entity regarding its security posture. 
Relevant departmental officers have informed me that, to ensure the ongoing safeguarding of 
information held by the department, the department does not publicly disclose the details of its 
information security arrangements, including the results of any penetrating testing conducted. 
Relevant departmental officers have also informed me that publicly disclosing details of the 
department’s cyber security maturity and vulnerabilities would provide cyber intelligence to 
malicious actors who may seek to exploit such information and thereby, expose the department to 
Noting that the FOI Act does not control or restrict any subsequent use or dissemination of 
information released, I consider that release of this information would, or could reasonably be 
expected to, have a substantial adverse effect on the proper and efficient conduct of some of the 
department’s crucial functions and operations, including the ongoing testing and maintenance of the 
department’s IT infrastructure, the storage and authorised use of personal information of members 
of the public, and compliance and enforcement activities undertaken by the department. 
For those reasons, I have decided that the material within the scope of your request is conditionally 
exempt under subsection 47E(d) of the FOI Act. 
Under subsection 11A(5) of the FOI Act, the department must give you access to this material unless 
it would be, on balance, contrary to the public interest to do so. I have considered the public interest 
factors below under the heading ‘Public interest’. 
Public interest 
Subsection 11A(5) of the FOI Act provides: 
The agency or Minister must give the person access to the document if it is conditionally exempt at a 
particular time unless (in the circumstances) access to the document at that time would, on balance, 
be contrary to the public interest. 

When weighing the public interest for and against disclosure under section 11A(5) of the FOI Act, I 
have taken into account relevant factors in favour of disclosure. In particular, I have considered the 
extent to which disclosure would: 
•  promote the objects of the FOI Act, including enhanced scrutiny of government decision 
•  inform debate on a matter of public importance, being the department’s cyber security 
•  promote effective oversight of public expenditure 
I have also considered the relevant factors weighing against disclosure, indicating that access would 
be contrary to the public interest. In particular, I have considered the extent to which disclosure 
could reasonably be expected to: 
•  impede the administration of justice generally 
•  impede the flow of information to the police or another law enforcement or regulatory 
•  prejudice the department's ability to obtain confidential information 
•  prejudice the department's ability to obtain similar information in the future 
•  prejudice the competitive commercial activities of the department 
•  prejudice the effectiveness of testing or auditing procedures 
•  adversely affect or harm the interests of an individual or a group of individuals 
Based on these factors, I have decided that, in this instance, the public interest in disclosing the 
information is outweighed by the public interest against disclosure. 
I have not taken into account any of the irrelevant factors set out in subsection 11B(4) of the FOI Act 
in making this decision. 
In summary, I am satisfied that the relevant material is conditionally exempt under subsection 
47E(d) of the FOI Act. Furthermore, I have decided that, on balance, it would be contrary to the 
public interest to release this information. Accordingly, I have decided not to release the material to 
Section 37(2)(b) of the FOI Act – Documents affecting enforcement of law and protection of public 
Section 37 of the FOI Act relevantly provides: 

(2)  A document is an exempt document if its disclosure under this Act would, or could reasonably be 
expected to: 
(b)  disclose lawful methods or procedures for preventing, detecting, investigating, or dealing 
with matters arising out of, breaches or evasions of the law the disclosure of which would, or 
would be reasonably likely to, prejudice the effectiveness of those methods or procedures; 
Cybercrimes pose a serious threat to both individuals and Government departments and agencies. 
Cybercrime offences are contained within the Criminal Code Act 1995 and include computer 
intrusions and unauthorised modification of data (including destruction of data). 
Disclosure of the details of any penetration test reports undertaken by the department would 
enable malicious actors to use the information to exploit any identified vulnerabilities, which in turn 
would compromise the safety of information held by the department, including personal 
information concerning job seekers and other individuals the department deals with.  It could also 
result in malicious actors obtaining information relating to breaches or evasions of laws 
administered by the department. If malicious actors gained access to such information, they may be 
able to use, modify or disseminate the information to third parties (including the subjects of 
investigations conducted by the department into breaches or evasions of the law), which would 
prejudice the effectiveness of these activities. 
I have therefore decided that disclosure of the material within the scope of your request would, or 
could reasonably be expected to, disclose the procedures for preventing and detecting matters 
arising out of breaches of the law, and would also prejudice the effectiveness of those procedures 
and disclose lawful methods or procedures used by the department to prevent, detect, investigate 
and deal with matters arising out of breaches or evasions of the law.  
I have therefore decided that the material within the scope of your request is also exempt under 
paragraph 37(2)(b) of the FOI Act. 
Your rights of review 
I have enclosed information about your rights of review under the FOI Act at Attachment A.  
Yours sincerely 
Authorised decision maker 
Department of Employment and Workplace Relations 
2 September 2022 

Attachment A 
Asking for an explanation of an FOI decision 
Before you ask for a formal review of an FOI decision, you can contact us and we will explain the 
decision to you.  
Asking for a formal review of an FOI decision 
If you still believe the decision is incorrect, the FOI Act gives you the right to apply for a review of the 
decision. Under sections 54 and 54L of the FOI Act, you can apply for a review of an FOI decision by: 
• an internal review officer in the department; and/or
• the Australian Information Commissioner.
There are no fees for applying for a formal review. 
Applying for an internal review by an internal review officer 
If you apply for internal review, a different decision maker to the decision maker who made the 
original decision will review your request. The internal review decision maker will consider all 
aspects of the original decision afresh and decide whether the decision should change. 
An application for internal review must be made in writing within 30 days of receiving this letter. You 
can lodge your application: 
Commercial and Information Law Branch 
Department of Employment and Workplace Relations 
Location Code: C50MA1 
GPO BOX 9880
CANBERRA   ACT   2601 
Applying for external review by the Australian Information Commissioner 
If you do not agree with the original decision or the internal review decision, you can ask the 
Australian Information Commissioner to review the decision.  
You will have 60 days to apply in writing for a review by the Australian Information Commissioner. 

You can lodge your application in one of the following ways: 
Online: 10 
Australian Information Commissioner 
GPO Box 5218 
Complaints to the Australian Information Commissioner  
Australian Information Commissioner 
You may complain to the Australian Information Commissioner about action taken by an agency in 
the exercise of powers or the performance of functions under the FOI Act.  
A complaint to the Australian Information Commissioner must be made in writing and can be lodged 
in one of the following ways: 
Online: 1 
Australian Information Commissioner 
GPO Box 5218