美国网络空间日光浴委员会(Cyber space Solarium Commission 2.0,简称CSC2.0)于2022年6月2日发布了《网络安全劳动力发展报告》(《Workforce Development Agenda for the National Cyber Director》)。报告陈述了目前美国政府和私营部门网络人才库的现状与挑战,介绍了目前激发网络人才活力的措施,并对国家网络主管、国会和私营部门的网络人才库的建设提出了建议。相关措施对于我国发展网络安全人才也具备一定借鉴意义。
摘译 | 李秋娟/赛博研究院实习研究员
来源 | Cyber space Solarium Commission 2.0
当前,美国政府和私营部门存在网络人才库中人才短缺的现状。包括美国政府在内的所有部门中,超过60万个网络安全职位仍然空缺,这将持续对美国国家安全问题构成潜在威胁。具言之,美国网络安全劳动力的发展环境面临以下挑战:
缺乏协调性
现有的网络安全工作一般仅在部门内部进行,而并非跨部门进行,因此缺乏一个能够统筹优先次序、协调跨部门权限的高级别部门,导致部门之间工作重复、指导相互冲突。此外,由于联邦政府没有制定相应的支持战略,导致不同领域之间的资源分配工作开展不畅。
数据来源不足
因为缺乏准确的数据,网络劳动力发展专家很难衡量不同的政策对联邦网络劳动力的影响。2015年颁布的《联邦网络安全劳动力评估法案》尝试解决这一问题。然而,该法案的效果并不理想,这是因为各部门之间的数据收集类型、方法不一致,且缺乏共享机制,难以发挥现有数据的效用。此外,该法案也没有要求各部门报告其目标雇佣人员的资质水平,因此无法清楚地评估未来劳动力的预算。
结构性制约因素
雇佣、薪酬和晋升的传统机制(如必须具备特定的学位或证书才有资格从事网络安全相关工作)极大地限制了选拔人才的灵活性,也扼杀了部分人才的创造性。尤其是在网络专业人士通常来自其他专业的情况下,以上结构性因素的限制体现得更加明显。
除此之外,网络人才管理能力不足、招聘和人事管理人员有限、人群多样性不足等问题同样阻碍着美国政府和私营部门网络安全人才库的发展壮大。
美国政府采取了多项措施激发网络安全人才的活力。尽管仍不能满足当前对网络人才的需求,但如果得到适当的授权、足够的资金支持并发挥好政府的职责作用,在未来也可以满足相当大一部分网络人才需求。具体措施包括:
联邦人事管理办公室负责人力资源工作,对各种网络劳动力的资格、分类和要求做出规定,并制定灵活性规则,以应对网络专业人员的高需求。具体措施如采取直接雇佣的模式、给予灵活性的薪酬权限、为各部门实施《联邦网络安全劳动力评估法案》提供指导,并为开展网络安全和IT项目管理能力模型提供解释性指导和培训。
该工作组由2015年《联邦网络劳动力管理法案》和联邦政府其他网络劳动力政策的实际实施者组成,是一个跨部门的运营协调部门,负责研究网络安全最佳实践,提供相关工具和资源,以增强对劳动力的管理能力。工作组在国家网络安全职业和研究倡议网站上为公共和私营部门创建了一个动态工具(称为“职业路径和职业路线图”),并在跨部门之间共享有关资源。
CyberCorps服务奖学金计划是面向全美高校为网络领域的学生提供的奖学金,大多数奖学金获得者在服务期内需要为联邦部门工作,这直接为公共部门的网络人才招聘提供了支持。
网络安全教育和培训援助计划旨在提供网络安全课程和师资培训,普及网络安全教育。它不仅鼓励普通民众更加关注个人信息安全,而且致力于加深人们对网络安全职业的认识,激励更多的人才走上网络安全职业道路。
国家网络安全学术卓越中心旨在促进全美高校高质量的网络教育发展,强调部门间的合作,为网络安全领域的就业做一定的前期准备。该中心还创建了一个课程库,监控全美范围内所开设的网络安全课程的质量。
国家网络主管的职位和相关办公室于2021年设立,其在应对网络劳动力挑战方面发挥领导作用,目的是“担任总统网络安全和政策与战略方面的首席顾问”。其应对联邦政府网络劳动力发展挑战的建议包括:
1、建立持续的网络劳动力数据收集和评估流程,提高网络劳动力的数据质量
第一,网络劳动力数据收集的指标应当标准化,例如在职业分类、工作要求和其他衡量标准形成一致要求,并尽可能加大对网络劳动力数据收集的支持。为了达成该建议的目标,应对收集的数据进行持续审查,并为审查部门提供集中、方便的支持。
第二,应确立数据授权的问责制。管理层应当关注并解决数据收集和评估过程中可能出现的问题,并对数据提供延迟的主体启动政府问责机制。另外,国家网络主管可以与人事管理办公室合作,确定实现目标所需的网络专业人员数量、缺额和岗位。
第三,应共享联邦网络劳动力的数据。公开有关联邦网络劳动力趋势的高级别汇总数据,有助于教育合作伙伴、政府利益相关者和求职者确定最需要的领域。
第四,应与国家统计局合作,确保国家网络主管拥有统计信息所需的专业人员。此外,应与美国国家科学基金会(NSF)合作,以便为数据收集和评估提供资金支持,更好地开展对网络劳动力的驱动因素和动态的学术研究。
2、建立领导和协调部门
一方面,应建立网络劳动力指导委员会,提供战略指导,确定各部门的角色和责任,并就资源分配提供意见,观察战略优先事项的进展。另一方面,应成立网络劳动力协调工作组,保证各部门网络劳动力发展工作的相互协调,尽可能共享信息和资源,确定新工作方向,并协助指导委员会制定网络劳动力发展计划,确保各项举措符合指导委员会的战略指南。
国家网络主管可以与管理和预算办公室(OMB)合作,审查网络劳动力项目的预算。国家网络主管的职责包括监控和评估网络政策实施的有效性和成本效益、审查相关联邦部门的年度预算提案、提出调整支出计划的建议,以确保联邦政府在网络劳动力方面的投资最大化。因此,国家网络主管可以通过彻底审查网络劳动力项目的项目预算的方法,解决战略目标、成果和当前支出之间不一致的问题。
为了对联邦网络人员短缺带来的风险确定预算,需要广泛了解网络事件的潜在成本,以及每个部门、办公室和个人对事件的预防、响应和恢复能力,这对国家网络主管的网络风险洞察能力和网络劳动力的投资水平提出了相当高的要求。
国家网络主管在为联邦政府制定网络劳动力发展战略时,应重点考虑:确定联邦网络劳动力发展工作的优先事项;明确联邦各部门的角色和职责;制定要求和时间表,提出对网络劳动力发展工作的期望,以推动各部门职责的履行;规划网络教育和网络职业意识培养的长期投资;为可能正在制定相邻战略的外部利益相关者(如地方政府)提供具体计划指导;突出网络劳动力潜在的创新优先领域;确定战略的资源需求。
5、改革网络人才招聘机构,提高政府范围内的薪酬灵活性
应使用现代化的网络人才招聘机制和特殊工资计算方式,扩大现有政府范围内直接雇佣网络人才的范围。另外,应为网络工作制定一个全新的职业分类,并将招聘职位和薪酬与学历、工作经历要求脱钩。同时,应建立一支受过网络招聘和人才管理培训的人力资源专家队伍,为前述工作提供人员和资源支持。
修改2015年《联邦网络安全劳动力评估法案》,推进数据收集指标的标准化,提高网络劳动力数据的质量。
加大对CyberCorps服务奖学金计划的支持,利用该长期且可复制的方案为网络安全培养人才。
提供激励措施(如为开展网络人才培训的雇主发放补助金),鼓励雇主将初级员工培养成经验丰富的职业中期人才。
明确政府发展网络劳动力的分工和职责,赋予美国国家网络主管统一协调的权力,避免政府职能的重复或混淆。
监督各部门的网络人才工作表现,鼓励跨部门的实践、协作和创新。
在没有新授权立法的情况下,建立一个政府范围内的网络例外服务,提高政府招聘和管理网络人才的灵活性。
增加网络劳动力发展工作的拨款,加大资金支持力度。
网络劳动力的发展不能只在政府的行动中推进,国家网络主管还必须与私营部门合作,共同解决国家网络劳动力挑战。私营部门可在提供工作经验、雇用入门级人才以及将这些员工培养成职业中期专业人员等方面发挥重要作用。具言之,私营部门可以:
1、增加对网络劳动力的投资
一些堪称典范的公司已经开始通过增加对网络劳动力的投资来迎接网络人才短缺这一挑战:微软开展了慈善技术教育和学校扫盲计划,承诺为攻读网络专业大学学位和行业认证的学生提供经济援助,为大学老师提供相关培训和免费的网络安全课程材料,并每年为500多所高中提供计算机科学教育资源。埃森哲、万事达、微软和Workday等公司通过开展政企合作项目——网络人才计划,为公共和私营部门人员提供学费援助、传授工作经验。IBM的全球大学计划为大学教授和学生提供了网络安全技术相关主题的培训,为新鲜血液的加入铺平道路。
2、合作培训开发共享资源
雇主可以与其他公司一同组织内部员工培训,以减少劳动力投入。缺少时间或资金的小型网络专业公司,可以联合几个处在共同地理位置、具有相似行业或人员需求的公司开展培训。这样能够分担培训成本,使网络劳动力投资更加可行。通过参与这些计划,即使是小规模的雇主也可以制定适当的培训流程,将职业生涯早期的员工培养成经验丰富的技术人员,为其公司服务。