本文刊登于《网信军民融合》杂志2021年1月刊

【编者按】由于网络空间治理议题兼具技术属性和政策属性,严峻复杂的网络安全形势和动态快速迭代的技术更新催生了政府部门对网络安全人才需求的持续增长。本文梳理并研究美国联邦政府网络安全人才队伍建设的基本情况及相关经验,介绍了顶层设计构建、标准化人才框架设计、公私部门人才交流、招聘机制和薪酬激励手段创新等层面的具体措施,总结了对我国政府部门网络安全人才队伍建设的启示。

美国联邦政府网络安全人才队伍建设举措

及其对我国的启示

北京电子科技学院管理系 李艳

人才竞争是网络空间竞争的实质。由于网络空间治理议题兼具技术属性和政策属性,严峻复杂的网络安全形势和动态快速迭代的技术更新催生了公私部门对网络安全人才需求的持续增长。较之私营部门,刚性的财政预算约束和固化的人力资源管理模式决定了政府部门在网络安全人员短缺问题方面面临的挑战更为严峻。作为互联网技术的发源地和头号网络强国,美国从顶层设计构建、标准化人才框架设计、公私部门人才交流、招聘机制和薪酬激励手段创新等层面多措并举,强化了联邦政府层面的网络安全人才储备和能力建设。系统梳理并深入研究美国联邦政府网络安全人才队伍建设的基本情况及相关经验,对完善我国政府部门网络安全人才队伍建设极具参考价值。

一、美国联邦政府网络安全人才队伍建设面临的严峻挑战

首先,在网络安全人才荒已然成为全球性难题的背景下,美国亦面临着日益高企的网络安全人才数量缺口。美国国家网络安全教育计划 (NICE) 资助的 CyberSeek 项目数据显示,截至2020 年 5 月,美国共面临 41.5 万名网络安全专业人才缺口,其中公共部门人才缺口约为 2.1 万。从年龄结构上进行分析,美国人事管理办公室(Office of Personnel Management)2019 年 6 月 发布的就业统计数据显示,美国联邦政府劳动力年龄结构老化问题非常突出,52.3% 的 IT 从业人员年龄超过 50 岁,30 岁以下的 IT 从业人员仅占 2.8%。这表明随着大多数网络安全骨干从业人员迎来退休潮,美国联邦政府正面临网络安全技术人才青黄不接的棘手难题。

其次,由于固化的人力资源管理程序,致使美国联邦政府面临着把顶尖候选人流失给行动更快的私营部门的风险。一方面,冗长繁琐的背景检查、强制体检和安全许可程序延长了招聘周期,不利于政府部门吸引到顶尖网络安全人才。非营利机构公共服务伙伴关系组织和波士顿咨询集团发布的 2019 年“联邦政府最佳工作场所”排行榜分析数据显示,只有 42% 的联邦雇员认为他们的工作单位能够招聘到具备合适技能的人才,政府平均需要 98 天才能招募到新人才,是私营部门的两倍多。另一方面,受制于刚性的预算约束,政府部门提供的薪酬福利待遇较之私营部门缺乏竞争力,使其难以吸引、留住高端核心人才。由于在高级职位上公私部门的薪资差距体现的更为明显,一些工作人员在积累了五年或六年工作经验之后就会选择跳槽到待遇更为优厚的私营企业工作。此外,由于缺乏清晰的职业晋升发展路径,政府部门网络安全从业人员难以在不承担更多管理监督责任的情况下,仅根据其技术技能获得晋升。与之形成鲜明对比的是,为STEM 人才创建双轨制是许多私营企业的标准做法,这为顶尖人才职业晋升提供了灵活性。在发展受限的情况下,不少有经验的专业人才被承担政府外包项目的私营企业或政府资助的研发中心工作挖走,转而以高时薪外包人员的身份为政府提供专业服务。职业发展通道的缺失使联邦政府正把急需的人才拱手让给自己的承包商。

二、美国联邦政府加强网络安全人才队伍建设的举措

(一)加强顶层设计,重视战略规划

网络安全人才队伍建设历来是美国网络安全战略中的核心议题。尽管随着网络安全态势和美国决策者认知观念的变化,历版网络安全战略中对网络安全人才队伍建设服务于经济发展、国家安全和大国竞争目标的侧重程度略有不同,但人才队伍建设一以贯之地被视为保障网络空间安全的根基。从发展脉络上看,美国对联邦政府层面网络安全人才队伍建设的战略设计经历了由粗线条规划到综合统筹、逐步细化的过程。

早在克林顿政府时期,美国就将信息安全人才队伍建设内嵌于《信息系统保护国家计划》。小布什政府于 2008年着手统筹布局《国家网络安全综合计划》第 8 计划(CNCI),拟通过提高联邦政府工作人员网络安全水平、建立技术领先的网络安全人才队伍来确保美国的网络强国地位和技术领先优势。奥巴马政府在 2010 年 4 月正式启动《国家网络安全教育计划》(NICE),将教育计划涵盖范围由 CNCI 第 8 计划中的联邦政府公职人员技能培训扩大为整个国家层面的网络安全从业人员能力培训、在校学生网络安全教育和普通公众的网络安全意识教育。2016 年 7月,美国管理与预算办公室和人事管理办公室联合发布了《联邦网络安全人才战略》,聚焦于发现、培养、招募、留用四个层面提出了改进联邦政府网络安全人才管理模式的具体行动目标和实施对策。

特朗普政府执政后,在“美国优先”和“以实力促和平”的执政理念影响下,美国进一步强化网络威慑战略,将加速进攻性网络能力建设作为应对网络空间大国竞争威胁和国内治理难题的主要路径。在激进的泛网络安全政策导向下,网络安全人才建设成为维持美国在网络空间霸权地位的核心路径。2017 年 5月,特朗普签署了13800 号行政令《加强联邦政府网络与关键基础设施网络安全》。与过往网络安全人力发展相关战略设计有所区分的是,此次行政令首次单独聚焦于国防部网络安全人才队伍建设问题,旨在提升网络作战能力助推网络威慑战略实施。2018 年 9月,特朗普正式签署《国家网络战略》,从标准化管理、改进薪酬待遇、增加教育培训层面对加强联邦政府网络安全人才队伍建设进行了战略部署。2019 年 5 月,特朗普政府出台《网络安全人才行政令》,要求国土安全与其他联邦机构紧密开展合作,通过制定网络安全工作轮换计划、开展网络安全能力评估、联合举办“总统杯”网络安全竞赛和建立国家网络安全人才咨询项目的方式加强联邦政府网络安全人才队伍建设。

(二)建立通用人才框架,促进人才管理标准化建设

与传统行业不同,网络安全行业技术更新快且职业领域广泛,可细分为众多的专业领域和岗位角色。根据美国人事管理办公室 2015 年 2 月的评估结果,美国联邦政府内的网络安全工作涉及 100 多个联邦岗位序列。系统梳理不同专业领域网络安全工作的角色分类,明确各角色的工作职责和专业技术能力要求,有助于确立客观的网络安全人才评价基准。2011 年 9月,美国国土安全部和人力资源办公室发布《NICE网络安全人才队伍框架 ( 草案 )》,明确了7 大门类、31 个网络安全特定专业领域不同工作角色所需履行的任务职责(Task)及胜任该职责所需具备的知识、技能和能力(KSAs)。2017 年 8月,美国商务部国家标准与技术研究院(NIST)发布了最新版本的《NICE 网络安全人才队伍框架》,该框架又被称为 NIST SP800-181 标准,采用通用的语言界定了网络安全角色及工作,为不同行业领域网络安全人才队伍实施标准化培养和管理奠定了根基。该标准目前已贯穿于美国联邦政府网络安全人才需求规划、能力评估、职业培训等核心人才培养环节,对构建良性的网络安全人才队伍建设生态发挥了核心作用。

(三)构建公私部门人才交流机制,扩充人才管道

为解决联邦政府网络安全劳动力短缺问题,美国联邦政府以建立公私部门人才交流机制为抓手,借力民间智力资源拓宽人才管道。作为构建跨界人才流动机制的先行者,美国国防部早在2010 年就开始推动“信息技术交流项目”(Information Technology Exchange Program,ITEP),旨在以公私部门短期人才交流的方式促进信息技术人员分享技术实践经验。此外,国防部在2014 年设立了“国防部长企业研究员计 划”(Secretary of Defense Corporate Fellows Program),派遣军官赴科技公司学习工作,以期提升军事技术人才的网络战实战能力。2015 年,国防部成立国防数字服务处(Defense Digital Service),通过设置类似“旋转门”的用人机制,邀请网络安全领域的顶尖私营部门人才以参与特定研究项目的方式解决国防部技术难题,助推国防部数字化服务改革进程。实践证明,灵活的人才交流机制不仅有效降低了国防部的专业人才培养成本,提高了其人才资源的使用效率,还大力推动了国防部引进私营部门的创新思想和最佳实践,促进了政府内部文化、政策和工作方法的变革。

2019 年 2 月 7 日,美国参议院引入《网络安全交流法案》(Cyber Security Exchange Act),进一步扩大公私部门网络安全人才交流力度。法案允许联邦政府从私营部门和学术界招募网络安全专家,但是任期不得超过两年。同时联邦政府还将创建文职人员短期轮岗项目,允许联邦机构成员可以在私营部门中进行交流,学习最佳实践以改善政府的网络安全状况。

(四)创建灵活高效的人才招聘机制和薪酬激励手段,力求在人才竞争中赢得先机

随着公私部门网络安全人才争夺战的愈演愈烈,为增加政府部门对网络安全人才的吸引力,美国联邦政府通过采取优化人才招募流程、提升薪酬待遇等举措,以期在人才争夺战中抢占先机。

招聘是人力资源管理过程中的重要环节。除产学研合作培养、学徒制培养、奖学金项目、实习项目和竞赛驱动等传统扩充人才招募管道的方式外,近年来美国联邦政府着力于从优化人才招聘流程、打造高品质招聘体验的角度吸引顶尖优秀人才。以美国联邦调查局为例,其人力资源管理团队在 2019 年12 月创建了自然减员模型以实现人才需求的精准预测。该模型汇总了离职、招聘预测数据和候选人背景调查的进度数据,可帮助各部门预测 9 个月内相关工作职位的空缺情况,在职位空缺前就可提前作出相关招聘决策,从而减少长时间职位空缺带来的额外负面效应。联邦调查局还与领英开展密切合作,研究测试如何通过改进招聘广告提升招聘对不同目标受众的吸引力和针对性。测试结果显示,通过改进招聘广告中的文字和图片内容,在过去三年招聘中申请特工职位的女性比例提升了14%。国防部文职人员咨询服务处为帮助国防部吸引优秀人才,开始雇佣包括工业与组织心理学家、社交媒体专家和市场营销专家等与传统人力资源技能无太大关联的专业人员提升国防部的雇主品牌影响力。国土安全部于 2020 年初发布了名为“SMORE”的以数据和证据为导向的综合型战略营销和招募参与工具平台,可帮助各部门实时跟踪招聘活动概况并评估其投资回报,在有效控制招聘成本的前提下提高招聘流程的透明度和工作效率。为精简招聘流程,美国众议院于 2019 年 7月通过《纳尔逊和波拉德情报授权法案》,特地为情报部门在 2020 财产预算的基础上追加 1.4%的预算用于减少安全审查积压等影响招聘效率的瓶颈问题,以确保情报部门高效招聘人才。

构建具有激励性的弹性薪酬制度是留住核心人才的关键。为实现网络安全人才的留用与发展,国防部早在《1997年国防授权法案》中就提出要为特殊情报岗位提供灵活的薪酬待遇。美国白宫2015 年 10 月发布的《联邦政府网络安全与实施计划》(CSIP)委托人事管理办公室为各机构提供有关招聘、薪酬和离职灵活性方面的指导信息,以帮助招聘和留住网络安全岗位上的员工。此外,人事管理办公室还发布了备忘录就人才招聘、调动和留用激励措施提供指导,允许各机构在年度奖励支出限额外对某些特殊贡献员工进行额外奖励。2016 年颁布的《联邦网络安全人才战略》中也指出管理与预算办公室、人事管理办公室、国土安全部和其他联邦机构拟探索设立类似特殊工资率、对市场敏感的薪酬结构等特殊的联邦薪酬项目以提升联邦政府网络安全人才职位在就业市场的吸引力。

三、结论及启示

面对严峻的网络安全形势和巨大的专业人才供需缺口,网络安全人才队伍建设已成为各国在日趋激烈的网络空间国际竞争中占领先机的基础战略型工程。在公私部门网络安全人才争夺战愈演愈烈的背景下,美国作为网络安全人才队伍建设的先行者和领先者,已将人才战略部署的触角逐步延伸和细化至联邦政府层面,密集出台了一系列系统政策部署。我国可以借鉴美国在联邦政府网络安全人才建设领域的成熟经验和做法,进一步完善我国政府层面的网络安全人才队伍建设工作。

(一)建立通用标准的人才评价体系,推动行业的职业化建设

我国目前尚未对网络安全人才建立统一规范的定义,对网络安全专业人员的岗位分类、职业能力评价标准和职业发展路径也缺乏清晰的梳理。职业标准框架的缺失不利于国家对网络安全人才队伍建设进行整体规划,长远来看还会损伤整个行业的职业吸引力。我国可在立足国情的基础上借鉴美国网络安全职业标准体系建设的经验做法,从明确界定专业人员分类标准、工作角色和知识技能要求着手构建通用公私部门兼容的人才标准框架,进而为人才的“选、育、用、留”环节管理决策提供明确的依据。

(二)重视公私部门的交流与合作,合力推动网络安全人才队伍建设工作

我国可借鉴美国的经验,通过政策设计引导并激励公私部门加大人才交流合作的力度,合力推进政府部门网络安全人才队伍建设工作。一方面,我国政府可以设立特定研究项目的方式借调顶尖私营部门技术人才解决政府部门个性化的网络安全技术难题,实现公共部门的网络安全人才需求与私营部门人力资源优势的无缝对接。另一方面,我国政府应优化制度体系建设,通过政策创新移除阻碍公私部门人才流动的体制性瓶颈因素。可借鉴类似“旋转门”的机制打破体制界限主动引才,扩充政府部门网络安全人才的蓄水池。

(三)探索建立个性化的人才引进和激励制度,加大对高端紧缺人才的政策支持力度

全国人大常委会执法检查组在2017 年发布的关于“一法一决定”实施情况的报告中指出,“受到编制、职务、薪资等因素制约,许多地方网信、公安、通信管理、工信等单位往往找不到或留不住专业人才”。我国应借鉴美国联邦政府在网络安全人才引进和激励制度方面的创新做法,针对网络安全人才队伍的特殊性制定个性化的招聘安排和薪酬结构,从制度设计层面体现对高端紧缺人才的重视程度。一方面,应创新招聘流程主动请才,可通过技术手段改进招聘流程、优化招聘管理信息系统和注重细节管理等举措提升雇主品牌、提升应聘者的体验,力求在人才争夺战中占据先机。另一方面,应鼓励对人才发展激励机制进行政策性试点改革,通过构建灵活的激励性薪酬管理体制以防止人才的流失。

声明:本文来自网信军民融合,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。