新认证ITPM：做内部威胁计划的坚强后盾

　　卡内基梅隆大学软件工程研究所CERT内部威胁中心最近宣布了一项新的认证，该认证旨在支持信息安全领导们发展正式的内部威胁计划。

　　卡内基梅隆大学称这个新的内部威胁计划管理器(ITPM)认证能够帮助联邦机构满足建立内部威胁计划的要求，这个要求最初出现在2011年9月奥巴马总统的行政命令(EO)13587中，此命令是为了响应一年前发生的Bradley Manning维基解密丑闻。

　　EO 13587命令在2011年10月还催生了国家内部威胁专门工作组，并且，在与政府部门的广泛协作后，该工作组还发布了国家内部威胁政策，其中制定了联邦内部威胁计划的最低标准。

　　卡内基梅隆大学软件工程研究所CERT内部威胁中心的技术经理Randy Trzeciak表示，卡内基梅隆大学今年计划推出三个内部威胁相关的认证，其中之一的ITPM认证旨在为创建满足EO 13587要求的内部威胁计划提供基础。

　　Trzeciak称，通过一系列的在线课程和为期几天的面对面教学，与会者将会学到如何部署不同的组件来成功创建内部威胁计划，包括内部威胁可能的显现方式、如何有效地部署计划，以及如何在整个企业中就某个计划的原理进行通信。

　　Trzeciak表示，该认证的另一个重要组成部分是内部威胁意识培训课程，该课程针对的是整个企业的所有员工，而不只是直接参与内部威胁团队的员工。这是因为有效的内部威胁计划必须涉及从人力资源到物理安全的每一个人，甚至还应该涉及法律顾问，以帮助管理EO 13587中规定的员工隐私需求。

　　Trzeciak强调，也许最重要的是，企业应该考虑在已有的企业风险评估计划中构建内部威胁计划，而不是分别建立和维护两个计划。

　　“企业风险评估过程需要从识别企业内的关键资产开始，”Trzeciak表示，“企业必须确定什么需要被保护、什么是最重要的，然后确定这些重要资产面临何种威胁，包括内部和外部威胁。”

　　虽然ITPM证书最初是针对试图满足EO 13587要求的联邦机构，该证书很快就会有更广泛的适用性。根据联邦政府对国家工业安全计划操作手册(NISPOM)的变更建议，这个针对承包商的安全指导可能要求联邦承包商满足EO 13587中的内部威胁指导意见。

　　Trzeciak表示，即使NISPOM没有作出变更， CERT内部威胁中心正在计划让该认证的培训可适用于除政府外的其他行业，主要是依赖于已知有效的识别和缓解内部威胁风险的最佳做法。

　　“在过去13年中，我们已经联系了很多有意发展内部威胁计划的行业合作伙伴。我们为银行和金融机构以及其他行业合作伙伴进行了威胁漏洞评估，他们已经认识到保护其重要资产抵御欺诈行为的需要，无论是否是关键的知识产权资产，他们还意识到必须维持或保持弹性信息技术资产让它们保持运营，”Trzeciak表示，“我们当然希望行业合作伙伴以及非政府组织能够同样对此感兴趣。”