卡內(nèi)基梅隆大學(xué)軟件工程研究所CERT內(nèi)部威脅中心最近宣布了一項新的認證，該認證旨在支持信息安全領(lǐng)導(dǎo)們發(fā)展正式的內(nèi)部威脅計劃。

[[115716]]

卡內(nèi)基梅隆大學(xué)稱這個新的內(nèi)部威脅計劃管理器(ITPM)認證能夠幫助聯(lián)邦機構(gòu)滿足建立內(nèi)部威脅計劃的要求，這個要求最初出現(xiàn)在2011年9月奧巴馬總統(tǒng)的行政命令(EO)13587中，此命令是為了響應(yīng)一年前發(fā)生的Bradley Manning維基解密丑聞。

EO 13587命令在2011年10月還催生了國家內(nèi)部威脅專門工作組，并且，在與政府部門的廣泛協(xié)作后，該工作組還發(fā)布了國家內(nèi)部威脅政策，其中制定了聯(lián)邦內(nèi)部威脅計劃的***標準。

卡內(nèi)基梅隆大學(xué)軟件工程研究所CERT內(nèi)部威脅中心的技術(shù)經(jīng)理Randy Trzeciak表示，卡內(nèi)基梅隆大學(xué)今年計劃推出三個內(nèi)部威脅相關(guān)的認證，其中之一的ITPM認證旨在為創(chuàng)建滿足EO 13587要求的內(nèi)部威脅計劃提供基礎(chǔ)。

Trzeciak稱，通過一系列的在線課程和為期幾天的面對面教學(xué)，與會者將會學(xué)到如何部署不同的組件來成功創(chuàng)建內(nèi)部威脅計劃，包括內(nèi)部威脅可能的顯現(xiàn)方式、如何有效地部署計劃，以及如何在整個企業(yè)中就某個計劃的原理進行通信。

Trzeciak表示，該認證的另一個重要組成部分是內(nèi)部威脅意識培訓(xùn)課程，該課程針對的是整個企業(yè)的所有員工，而不只是直接參與內(nèi)部威脅團隊的員工。這是因為有效的內(nèi)部威脅計劃必須涉及從人力資源到物理安全的每一個人，甚至還應(yīng)該涉及法律顧問，以幫助管理EO 13587中規(guī)定的員工隱私需求。

Trzeciak強調(diào)，也許最重要的是，企業(yè)應(yīng)該考慮在已有的企業(yè)風(fēng)險評估計劃中構(gòu)建內(nèi)部威脅計劃，而不是分別建立和維護兩個計劃。

“企業(yè)風(fēng)險評估過程需要從識別企業(yè)內(nèi)的關(guān)鍵資產(chǎn)開始，”Trzeciak表示，“企業(yè)必須確定什么需要被保護、什么是最重要的，然后確定這些重要資產(chǎn)面臨何種威脅，包括內(nèi)部和外部威脅。”

雖然ITPM證書最初是針對試圖滿足EO 13587要求的聯(lián)邦機構(gòu)，該證書很快就會有更廣泛的適用性。根據(jù)聯(lián)邦政府對國家工業(yè)安全計劃操作手冊(NISPOM)的變更建議，這個針對承包商的安全指導(dǎo)可能要求聯(lián)邦承包商滿足EO 13587中的內(nèi)部威脅指導(dǎo)意見。

Trzeciak表示，即使NISPOM沒有作出變更， CERT內(nèi)部威脅中心正在計劃讓該認證的培訓(xùn)可適用于除政府外的其他行業(yè)，主要是依賴于已知有效的識別和緩解內(nèi)部威脅風(fēng)險的***做法。

“在過去13年中，我們已經(jīng)聯(lián)系了很多有意發(fā)展內(nèi)部威脅計劃的行業(yè)合作伙伴。我們?yōu)殂y行和金融機構(gòu)以及其他行業(yè)合作伙伴進行了威脅漏洞評估，他們已經(jīng)認識到保護其重要資產(chǎn)抵御欺詐行為的需要，無論是否是關(guān)鍵的知識產(chǎn)權(quán)資產(chǎn)，他們還意識到必須維持或保持彈性信息技術(shù)資產(chǎn)讓它們保持運營，”Trzeciak表示，“我們當(dāng)然希望行業(yè)合作伙伴以及非政府組織能夠同樣對此感興趣。”