美國聯(lián)邦政府網(wǎng)絡(luò)安全人才職位分類的現(xiàn)狀與問題

◎北京電子科技學(xué)院 李艷

職位分類制度是構(gòu)建人力資源戰(zhàn)略體系的基礎(chǔ)環(huán)節(jié)。作為世界上最早創(chuàng)設(shè)公務(wù)員職位分類制度的國家，美國以人事管理局職位分類體系和《NICE網(wǎng)絡(luò)安全人才框架》為抓手，構(gòu)建了標(biāo)準化的聯(lián)邦政府網(wǎng)絡(luò)安全人員職位分類制度。本文對美國聯(lián)邦政府網(wǎng)絡(luò)安全人才職位分類的現(xiàn)狀及問題進行了系統(tǒng)剖析，以期為我國實施網(wǎng)絡(luò)安全人才分類管理制度提供借鑒。

一、美國聯(lián)邦政府網(wǎng)絡(luò)安全人才職位分類制度建設(shè)概況

由于在網(wǎng)絡(luò)安全和信息技術(shù)等技術(shù)領(lǐng)域飽受技能鴻溝和人才數(shù)量短缺問題困擾，戰(zhàn)略人力資本管理長期位列于美國政府問責(zé)局的高風(fēng)險名單上。在專業(yè)技術(shù)人才持續(xù)短缺的背景下，構(gòu)建標(biāo)準化的職位分類制度進而科學(xué)評估、統(tǒng)籌確定各機構(gòu)關(guān)鍵的網(wǎng)絡(luò)安全人才需求缺口被界定為聯(lián)邦政府網(wǎng)絡(luò)安全人才隊伍建設(shè)的核心問題。目前美國聯(lián)邦政府各部門聯(lián)合使用兩種并行的職業(yè)編碼系統(tǒng)對網(wǎng)絡(luò)安全人才進行職位分類，一種是傳統(tǒng)的人事管理局職位分類體系，另一種是基于《NICE網(wǎng)絡(luò)安全人才框架》開發(fā)的編碼體系。

（一）傳統(tǒng)的人事管理局職位分類體系

作為公務(wù)員職位分類制度的發(fā)源地，美國國會早在1923年就頒布了《職位分類法》正式推行職位分類制度，其主旨在于通過“因事設(shè)人”、“因事定級”實現(xiàn)聯(lián)邦政府人事管理工作的科學(xué)化、精細化和公平性。職位分類的程序通常包括決定薪酬體系、確定職位系列、選擇職務(wù)名稱和確定職位等級幾個具體步驟。根據(jù)人事管理局2008年發(fā)布的最新版《職位族類手冊》，現(xiàn)有聯(lián)邦政府非高級公務(wù)員職位可分為白領(lǐng)和藍領(lǐng)兩大職族。前者適用一般職位表（General Schedule,GS）薪酬系統(tǒng)，在橫向上可進一步細分為5大職類、23個職組和406個職系，在縱向上可再進行職等和職級的劃分。目前人事管理局并未針對網(wǎng)絡(luò)安全相關(guān)職位設(shè)置專門的職業(yè)系列，大多數(shù)職位可歸類于白領(lǐng)職族2200IT職組下的2210IT管理職業(yè)系列，實行兩級間隔職等晉升模式。

在具體的分類實踐中，由于網(wǎng)絡(luò)安全工作橫跨諸多專業(yè)類型，包含多種背景、角色、行業(yè)，決定了網(wǎng)絡(luò)安全相關(guān)的工作崗位無法全部涵蓋在單一2210IT管理職業(yè)系列范圍內(nèi)。此外，網(wǎng)絡(luò)安全工作的高度跨學(xué)科屬性使得職位分類的判斷變得愈加復(fù)雜，因為即使在2210IT管理職業(yè)系列也不是所有的職位都與網(wǎng)絡(luò)安全相關(guān)。通常情況下，依據(jù)人事管理局出臺的網(wǎng)絡(luò)安全職位解釋指南，通過檢視特定職位的任務(wù)和責(zé)任，基于職位的主要業(yè)務(wù)、工作難度和所需知識水平可判定職位的職業(yè)系列歸屬。當(dāng)工作職位可與多個職組相匹配，或在一個職組可從屬于多個職系時，則需要通過審查職位所需的最重要的職業(yè)知識、設(shè)置職位的主要目的、組織使命和職能以及招聘來源最終確定所屬的職業(yè)系列。

按照美國法典第5篇要求，為服務(wù)于人力資源、預(yù)算和財政管理需要，人事管理局需在發(fā)布的職業(yè)系列分類標(biāo)準中一并確立職位的官方稱謂。職位官方稱謂包含正式基本名稱，且可以附加1個或多個前綴或后綴名稱。針對2210IT管理職業(yè)系列中包含網(wǎng)絡(luò)安全工作的職位，人事管理局將基本官方頭銜界定為“IT網(wǎng)絡(luò)安全專家”。此外，為便于招聘和組織需要，2210IT管理職業(yè)系列的網(wǎng)絡(luò)安全相關(guān)職位可添加人事管理局規(guī)定的11個括號標(biāo)題標(biāo)明職位的專業(yè)領(lǐng)域，補充說明該職位需履行的工作職責(zé)和所需的特殊知識和技能，如“IT網(wǎng)絡(luò)安全專家（網(wǎng)絡(luò)服務(wù)）”職位。歸屬于其他職業(yè)系列包括網(wǎng)絡(luò)安全功能的職位可添加附加標(biāo)題“網(wǎng)絡(luò)安全”來補充基本官方職位頭銜，如“計算機科學(xué)家（網(wǎng)絡(luò)安全）”職位。此外，也可按照《NICE網(wǎng)絡(luò)安全人才框架》中的專業(yè)領(lǐng)域作為括號標(biāo)題對網(wǎng)絡(luò)安全職位進行補充說明，如“IT網(wǎng)絡(luò)安全專家（事故響應(yīng)/數(shù)字取證）”。

（二）基于《NICE網(wǎng)絡(luò)安全人才框架》的3位數(shù)編碼體系

奧巴馬政府時期，決策界高層將網(wǎng)絡(luò)威脅列為美國“面臨的最重要的國家安全、公共安全和經(jīng)濟挑戰(zhàn)之一”，這意味著網(wǎng)絡(luò)安全提升至國家決策最高層級。這種戰(zhàn)略認知層面的轉(zhuǎn)變促使美國啟動一系列行動舉措強化網(wǎng)絡(luò)安全人才培養(yǎng)問題，其首要政策抓手即是美國國家標(biāo)準技術(shù)研究院（NIST）2010年推出的“國家網(wǎng)絡(luò)安全教育計劃”（NICE）。為助推NICE計劃落地，美國國土安全部和人事管理局2011年9月發(fā)布《NICE網(wǎng)絡(luò)安全人才框架(草案)》，著眼于從構(gòu)建網(wǎng)絡(luò)安全人才評價基準這一基礎(chǔ)性課題著手，旨在為不同行業(yè)領(lǐng)域網(wǎng)絡(luò)安全人才隊伍實施標(biāo)準化培養(yǎng)和管理奠定根基。在廣泛征求多方意見的基礎(chǔ)上，經(jīng)過政、產(chǎn)、學(xué)界反復(fù)討論與多次修訂，2017年8月，NIST正式發(fā)布了《NICE網(wǎng)絡(luò)安全人才框架》，即NIST SP800-181標(biāo)準?？蚣芟到y(tǒng)梳理了網(wǎng)絡(luò)安全工作的門類、專業(yè)領(lǐng)域和工作角色分類，采用通用的語言明確了不同網(wǎng)絡(luò)安全工作角色所需履行的任務(wù)職責(zé)（Task）及勝任該職責(zé)所需具備的知識、技能和能力（KSAs），將網(wǎng)絡(luò)安全人才劃分為7大門類、33個專業(yè)領(lǐng)域和52個角色。2020年11月，NIST對框架進行了修訂，其主要變化一是簡化框架要素，刪除了類別和專業(yè)領(lǐng)域；二是強調(diào)框架的包容性和靈活性，改變了先前將工作角色與知識、技能和能力相關(guān)聯(lián)的固化方法，采用構(gòu)建任務(wù)、知識和技能（TKS）模塊的方法界定兩個核心概念：網(wǎng)絡(luò)安全工作和學(xué)習(xí)者（包括學(xué)生、求職者和雇員）。除利用通用模塊實現(xiàn)工作和學(xué)習(xí)者環(huán)境的連接外，組織還可以根據(jù)其獨特的操作環(huán)境定制和實施個性化的模塊應(yīng)用，以實現(xiàn)特定工作需求。

《NICE網(wǎng)絡(luò)安全人才框架》出臺后，人事管理局2012年跟進出臺了與之適配的兩位數(shù)網(wǎng)絡(luò)安全職位編碼體系。2015年，美國國會通過《聯(lián)邦網(wǎng)絡(luò)安全人才評估法案》(FCWAA)，要求各部門識別確定網(wǎng)絡(luò)相關(guān)職能的在任和空缺工作崗位，并依照NICE網(wǎng)絡(luò)安全人才框架建立編碼規(guī)則為這些職位分配相應(yīng)的職業(yè)編碼。至此，美國聯(lián)邦政府獨具特色的網(wǎng)絡(luò)安全人才雙系統(tǒng)職位分類體系正式形成。為落實法案要求，人事管理局與NIST合作，對標(biāo)2017年發(fā)布的正式版《NICE網(wǎng)絡(luò)安全人才框架》中新引入的工作角色概念對2012年版的兩位數(shù)編碼體系進行了升級，開發(fā)了一套三位數(shù)的網(wǎng)絡(luò)安全職業(yè)編碼體系。按照編碼規(guī)則，各機構(gòu)可為每個職位分配至多三個網(wǎng)絡(luò)安全編碼。這套三位數(shù)職業(yè)編碼體系聚焦于人才發(fā)展，旨在提供信息幫助機構(gòu)領(lǐng)導(dǎo)者確定組織迫切亟需的關(guān)鍵技能或崗位。

二、美國聯(lián)邦政府網(wǎng)絡(luò)安全人才職位分類實踐中存在的主要問題

美國聯(lián)邦政府網(wǎng)絡(luò)安全人才職位分類制度設(shè)計精細、配套制度完備，有力助推了人才的標(biāo)準化培養(yǎng)與職業(yè)化管理。然而，在具體實踐過程中，由于難以保證編碼的準確性、缺乏適配的勞動力政策轉(zhuǎn)化工具，導(dǎo)致目前的雙系統(tǒng)職位分類體系并未達到“專才專用”、“適才適遇”的制度設(shè)計預(yù)期。

首先，成功的人力資本管理和勞動力規(guī)劃依賴于有效、可靠的人才評估數(shù)據(jù)。由于存在官僚障礙、2210IT管理職業(yè)序列混淆非網(wǎng)絡(luò)相關(guān)工作職能等系統(tǒng)性問題，致使現(xiàn)有的職位分類數(shù)據(jù)并不精確，難以精準評估聯(lián)邦政府網(wǎng)絡(luò)安全人才的規(guī)模、分布和需求。2019年政府問責(zé)局（GAO）發(fā)布的評估報告數(shù)據(jù)顯示，24家聯(lián)邦政府機構(gòu)中有6家機構(gòu)未完全實現(xiàn)對空缺網(wǎng)絡(luò)安全職位的編碼分配，有22家機構(gòu)對職位進行了錯誤的分類，為2210IT管理職業(yè)系列中約19%的執(zhí)行網(wǎng)絡(luò)安全相關(guān)職能的職位分配了非相關(guān)的工作角色代碼。此外，6個被選中機構(gòu)為近53%隨機樣本職位分配了與職位說明中描述的工作職責(zé)不一致的工作角色代碼。

其次，現(xiàn)有的雙系統(tǒng)編碼體系分別用于不同的用途，未能形成合力充分轉(zhuǎn)化為靈活有效的招聘和留用政策工具。目前人事管理局的傳統(tǒng)職位分類體系主要服務(wù)于人事管理，在整個政府部門范圍內(nèi)提供特定職業(yè)標(biāo)準、確定薪酬系統(tǒng)；基于NICE框架的三位數(shù)編碼結(jié)構(gòu)主要服務(wù)于人才規(guī)劃，其用途是提供信息幫助機構(gòu)領(lǐng)導(dǎo)人識別、確定亟需的網(wǎng)絡(luò)安全職位，與人才招聘和留用環(huán)節(jié)未形成有效人才政策對接。由于聯(lián)邦政府網(wǎng)絡(luò)安全人才薪酬政策較之私營企業(yè)缺乏競爭力，人事管理局為此量身定制了個性化的招聘和留用政策。然而，這些優(yōu)惠政策主要面向極個別特定的職業(yè)序列，包含的網(wǎng)絡(luò)安全崗位極為有限，難以從根本上解決聯(lián)邦政府網(wǎng)絡(luò)安全人才招人難、留人難的問題。如“直接雇用權(quán)”招聘政策（DHA）則主要面向2210IT管理職業(yè)系列中的相關(guān)崗位，“IT 特殊薪酬”（IT Special Rates）政策主要針對0854計算機工程師職業(yè)系列、1550計算機科學(xué)專家職業(yè)系列和2210IT管理職業(yè)系列中的網(wǎng)絡(luò)安全崗位。

三、結(jié)論及啟示

“專才專用”和“適才適遇”是職位分類制度設(shè)計的主要初衷。有效的職位分類制度既要體現(xiàn)“因事設(shè)人”，在職位分類中充分體現(xiàn)網(wǎng)絡(luò)安全職業(yè)的專業(yè)特點；又要強調(diào)“人本管理”，使職位分類在人事管理各環(huán)節(jié)中能發(fā)揮實際管理效用。

首先，美國職位分類制度的總體改革趨勢是分類日趨簡化，這種趨勢同樣適用于網(wǎng)絡(luò)安全人才。由于網(wǎng)絡(luò)安全是新興行業(yè)領(lǐng)域，其職業(yè)邊界仍在不斷發(fā)展演變，過于精細、繁瑣的職位分類不僅缺乏彈性，容易致使分類流于形式，難以匹配職業(yè)發(fā)展的實際需要；還會耗費大量行政資源，影響人事管理的行政效率。在職位分類具體實踐中，需要兼顧標(biāo)準性和靈活性之間的平衡，緊密對接快速變化的行業(yè)需求。

其次，職位分類的最終目的是服務(wù)于人事管理，需要在實踐中為人事政策轉(zhuǎn)化留有余地，有效適配選、育、用、留人事管理環(huán)節(jié)。一方面，鑒于網(wǎng)絡(luò)安全人才的稀缺性，必須在實踐中將職位分類轉(zhuǎn)化為有針對性的招聘和留用政策工具，實現(xiàn)標(biāo)準性和適用性之間的平衡。此外，與《NICE網(wǎng)絡(luò)安全人才框架》最新修訂版中采用“模塊式”定制人才框架的方法相類似，職位分類在實踐中亦要留有一定的彈性空間，從而賦予各部門一定的政策自主權(quán)，實現(xiàn)因地制宜的崗位設(shè)置和人才政策設(shè)計。