卡内基梅隆大学软件工程研究所CERT内部威胁中心最近宣布了一项新的认证,该认证旨在支持信息安全领导们发展正式的内部威胁计划。
卡内基梅隆大学称这个新的内部威胁计划管理器(ITPM)认证能够帮助联邦机构满足建立内部威胁计划的要求,这个要求最初出现在2011年9月奥巴马总统的行政命令(EO)13587中,此命令是为了响应一年前发生的Bradley Manning维基解密丑闻。
EO 13587命令在2011年10月还催生了国家内部威胁专门工作组,并且,在与政府部门的广泛协作后,该工作组还发布了国家内部威胁政策,其中制定了联邦内部威胁计划的最低标准。
卡内基梅隆大学软件工程研究所CERT内部威胁中心的技术经理Randy Trzeciak表示,卡内基梅隆大学今年计划推出三个内部威胁相关的认证,其中之一的ITPM认证旨在为创建满足EO 13587要求的内部威胁计划提供基础。
Trzeciak称,通过一系列的在线课程和为期几天的面对面教学,与会者将会学到如何部署不同的组件来成功创建内部威胁计划,包括内部威胁可能的显现方式、如何有效地部署计划,以及如何在整个企业中就某个计划的原理进行通信。
Trzeciak表示,该认证的另一个重要组成部分是内部威胁意识培训课程,该课程针对的是整个企业的所有员工,而不只是直接参与内部威胁团队的员工。这是因为有效的内部威胁计划必须涉及从人力资源到物理安全的每一个人,甚至还应该涉及法律顾问,以帮助管理EO 13587中规定的员工隐私需求。
Trzeciak强调,也许最重要的是,企业应该考虑在已有的企业风险评估计划中构建内部威胁计划,而不是分别建立和维护两个计划。
“企业风险评估过程需要从识别企业内的关键资产开始,”Trzeciak表示,“企业必须确定什么需要被保护、什么是最重要的,然后确定这些重要资产面临何种威胁,包括内部和外部威胁。”
虽然ITPM证书最初是针对试图满足EO 13587要求的联邦机构,该证书很快就会有更广泛的适用性。根据联邦政府对国家工业安全计划操作手册(NISPOM)的变更建议,这个针对承包商的安全指导可能要求联邦承包商满足EO 13587中的内部威胁指导意见。
Trzeciak表示,即使NISPOM没有作出变更, CERT内部威胁中心正在计划让该认证的培训可适用于除政府外的其他行业,主要是依赖于已知有效的识别和缓解内部威胁风险的最佳做法。
“在过去13年中,我们已经联系了很多有意发展内部威胁计划的行业合作伙伴。我们为银行和金融机构以及其他行业合作伙伴进行了威胁漏洞评估,他们已经认识到保护其重要资产抵御欺诈行为的需要,无论是否是关键的知识产权资产,他们还意识到必须维持或保持弹性信息技术资产让它们保持运营,”Trzeciak表示,“我们当然希望行业合作伙伴以及非政府组织能够同样对此感兴趣。”
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
作者
As news writer for SearchSecurity and SearchCloudSecurity, Brandan Blevins covers the enterprise information security landscape, from data breaches and research reports to IT security product market trends and case studies.
翻译
相关推荐
-
勒索软件给事件响应带来压力
研究表明,随着网络罪犯将注意力转向勒索软件攻击,2017年泄露数据记录数量下降近25%。 根据2018年IBM […]
-
企业有望通过安全分析来应对网络威胁
几十年以来,安全领域已经发生了巨大变化。企业不仅需要保护办公室资产和股票等有形资产,同时,随着企业越来越依靠技 […]
-
云栖大会前夕:阿里云安全来了场神秘发布
国庆即来,而国庆之后即是一年一度的杭州云栖大会,在距大会不到两周的节点上,一场以“云上安全 中国力量”的阿里云安全发布会在京神秘召开,更有神秘的“幕后智多星”首次公开亮相……
-
当安全团队在寻求解决方案的时候,他们在寻找什么?
如果你问一些安全购买者在找什么样的方案或产品,其中的多数可能会说还没有找到正在找的东西……