卡內基梅隆大學軟件工程研究所CERT內部威脅中心最近宣布了一項新的認證，該認證旨在支持信息安全領導們發(fā)展正式的內部威脅計劃。

[[115716]]

卡內基梅隆大學稱這個新的內部威脅計劃管理器(ITPM)認證能夠幫助聯(lián)邦機構滿足建立內部威脅計劃的要求，這個要求最初出現(xiàn)在2011年9月奧巴馬總統(tǒng)的行政命令(EO)13587中，此命令是為了響應一年前發(fā)生的Bradley Manning維基解密丑聞。

EO 13587命令在2011年10月還催生了國家內部威脅專門工作組，并且，在與政府部門的廣泛協(xié)作后，該工作組還發(fā)布了國家內部威脅政策，其中制定了聯(lián)邦內部威脅計劃的***標準。

卡內基梅隆大學軟件工程研究所CERT內部威脅中心的技術經理Randy Trzeciak表示，卡內基梅隆大學今年計劃推出三個內部威脅相關的認證，其中之一的ITPM認證旨在為創(chuàng)建滿足EO 13587要求的內部威脅計劃提供基礎。

Trzeciak稱，通過一系列的在線課程和為期幾天的面對面教學，與會者將會學到如何部署不同的組件來成功創(chuàng)建內部威脅計劃，包括內部威脅可能的顯現(xiàn)方式、如何有效地部署計劃，以及如何在整個企業(yè)中就某個計劃的原理進行通信。

Trzeciak表示，該認證的另一個重要組成部分是內部威脅意識培訓課程，該課程針對的是整個企業(yè)的所有員工，而不只是直接參與內部威脅團隊的員工。這是因為有效的內部威脅計劃必須涉及從人力資源到物理安全的每一個人，甚至還應該涉及法律顧問，以幫助管理EO 13587中規(guī)定的員工隱私需求。

Trzeciak強調，也許最重要的是，企業(yè)應該考慮在已有的企業(yè)風險評估計劃中構建內部威脅計劃，而不是分別建立和維護兩個計劃。

“企業(yè)風險評估過程需要從識別企業(yè)內的關鍵資產開始，”Trzeciak表示，“企業(yè)必須確定什么需要被保護、什么是最重要的，然后確定這些重要資產面臨何種威脅，包括內部和外部威脅。”

雖然ITPM證書最初是針對試圖滿足EO 13587要求的聯(lián)邦機構，該證書很快就會有更廣泛的適用性。根據聯(lián)邦政府對國家工業(yè)安全計劃操作手冊(NISPOM)的變更建議，這個針對承包商的安全指導可能要求聯(lián)邦承包商滿足EO 13587中的內部威脅指導意見。

Trzeciak表示，即使NISPOM沒有作出變更， CERT內部威脅中心正在計劃讓該認證的培訓可適用于除政府外的其他行業(yè)，主要是依賴于已知有效的識別和緩解內部威脅風險的***做法。

“在過去13年中，我們已經聯(lián)系了很多有意發(fā)展內部威脅計劃的行業(yè)合作伙伴。我們?yōu)殂y行和金融機構以及其他行業(yè)合作伙伴進行了威脅漏洞評估，他們已經認識到保護其重要資產抵御欺詐行為的需要，無論是否是關鍵的知識產權資產，他們還意識到必須維持或保持彈性信息技術資產讓它們保持運營，”Trzeciak表示，“我們當然希望行業(yè)合作伙伴以及非政府組織能夠同樣對此感興趣。”