美国联邦政府网络安全人才职位分类的现状与问题

◎北京电子科技学院 李艳

职位分类制度是构建人力资源战略体系的基础环节。作为世界上最早创设公务员职位分类制度的国家，美国以人事管理局职位分类体系和《NICE网络安全人才框架》为抓手，构建了标准化的联邦政府网络安全人员职位分类制度。本文对美国联邦政府网络安全人才职位分类的现状及问题进行了系统剖析，以期为我国实施网络安全人才分类管理制度提供借鉴。

一、美国联邦政府网络安全人才职位分类制度建设概况

由于在网络安全和信息技术等技术领域饱受技能鸿沟和人才数量短缺问题困扰，战略人力资本管理长期位列于美国政府问责局的高风险名单上。在专业技术人才持续短缺的背景下，构建标准化的职位分类制度进而科学评估、统筹确定各机构关键的网络安全人才需求缺口被界定为联邦政府网络安全人才队伍建设的核心问题。目前美国联邦政府各部门联合使用两种并行的职业编码系统对网络安全人才进行职位分类，一种是传统的人事管理局职位分类体系，另一种是基于《NICE网络安全人才框架》开发的编码体系。

（一）传统的人事管理局职位分类体系

作为公务员职位分类制度的发源地，美国国会早在1923年就颁布了《职位分类法》正式推行职位分类制度，其主旨在于通过“因事设人”、“因事定级”实现联邦政府人事管理工作的科学化、精细化和公平性。职位分类的程序通常包括决定薪酬体系、确定职位系列、选择职务名称和确定职位等级几个具体步骤。根据人事管理局2008年发布的最新版《职位族类手册》，现有联邦政府非高级公务员职位可分为白领和蓝领两大职族。前者适用一般职位表（General Schedule,GS）薪酬系统，在横向上可进一步细分为5大职类、23个职组和406个职系，在纵向上可再进行职等和职级的划分。目前人事管理局并未针对网络安全相关职位设置专门的职业系列，大多数职位可归类于白领职族2200IT职组下的2210IT管理职业系列，实行两级间隔职等晋升模式。

在具体的分类实践中，由于网络安全工作横跨诸多专业类型，包含多种背景、角色、行业，决定了网络安全相关的工作岗位无法全部涵盖在单一2210IT管理职业系列范围内。此外，网络安全工作的高度跨学科属性使得职位分类的判断变得愈加复杂，因为即使在2210IT管理职业系列也不是所有的职位都与网络安全相关。通常情况下，依据人事管理局出台的网络安全职位解释指南，通过检视特定职位的任务和责任，基于职位的主要业务、工作难度和所需知识水平可判定职位的职业系列归属。当工作职位可与多个职组相匹配，或在一个职组可从属于多个职系时，则需要通过审查职位所需的最重要的职业知识、设置职位的主要目的、组织使命和职能以及招聘来源最终确定所属的职业系列。

按照美国法典第5篇要求，为服务于人力资源、预算和财政管理需要，人事管理局需在发布的职业系列分类标准中一并确立职位的官方称谓。职位官方称谓包含正式基本名称，且可以附加1个或多个前缀或后缀名称。针对2210IT管理职业系列中包含网络安全工作的职位，人事管理局将基本官方头衔界定为“IT网络安全专家”。此外，为便于招聘和组织需要，2210IT管理职业系列的网络安全相关职位可添加人事管理局规定的11个括号标题标明职位的专业领域，补充说明该职位需履行的工作职责和所需的特殊知识和技能，如“IT网络安全专家（网络服务）”职位。归属于其他职业系列包括网络安全功能的职位可添加附加标题“网络安全”来补充基本官方职位头衔，如“计算机科学家（网络安全）”职位。此外，也可按照《NICE网络安全人才框架》中的专业领域作为括号标题对网络安全职位进行补充说明，如“IT网络安全专家（事故响应/数字取证）”。

（二）基于《NICE网络安全人才框架》的3位数编码体系

奥巴马政府时期，决策界高层将网络威胁列为美国“面临的最重要的国家安全、公共安全和经济挑战之一”，这意味着网络安全提升至国家决策最高层级。这种战略认知层面的转变促使美国启动一系列行动举措强化网络安全人才培养问题，其首要政策抓手即是美国国家标准技术研究院（NIST）2010年推出的“国家网络安全教育计划”（NICE）。为助推NICE计划落地，美国国土安全部和人事管理局2011年9月发布《NICE网络安全人才框架(草案)》，着眼于从构建网络安全人才评价基准这一基础性课题着手，旨在为不同行业领域网络安全人才队伍实施标准化培养和管理奠定根基。在广泛征求多方意见的基础上，经过政、产、学界反复讨论与多次修订，2017年8月，NIST正式发布了《NICE网络安全人才框架》，即NIST SP800-181标准。框架系统梳理了网络安全工作的门类、专业领域和工作角色分类，采用通用的语言明确了不同网络安全工作角色所需履行的任务职责（Task）及胜任该职责所需具备的知识、技能和能力（KSAs），将网络安全人才划分为7大门类、33个专业领域和52个角色。2020年11月，NIST对框架进行了修订，其主要变化一是简化框架要素，删除了类别和专业领域；二是强调框架的包容性和灵活性，改变了先前将工作角色与知识、技能和能力相关联的固化方法，采用构建任务、知识和技能（TKS）模块的方法界定两个核心概念：网络安全工作和学习者（包括学生、求职者和雇员）。除利用通用模块实现工作和学习者环境的连接外，组织还可以根据其独特的操作环境定制和实施个性化的模块应用，以实现特定工作需求。

《NICE网络安全人才框架》出台后，人事管理局2012年跟进出台了与之适配的两位数网络安全职位编码体系。2015年，美国国会通过《联邦网络安全人才评估法案》(FCWAA)，要求各部门识别确定网络相关职能的在任和空缺工作岗位，并依照NICE网络安全人才框架建立编码规则为这些职位分配相应的职业编码。至此，美国联邦政府独具特色的网络安全人才双系统职位分类体系正式形成。为落实法案要求，人事管理局与NIST合作，对标2017年发布的正式版《NICE网络安全人才框架》中新引入的工作角色概念对2012年版的两位数编码体系进行了升级，开发了一套三位数的网络安全职业编码体系。按照编码规则，各机构可为每个职位分配至多三个网络安全编码。这套三位数职业编码体系聚焦于人才发展，旨在提供信息帮助机构领导者确定组织迫切亟需的关键技能或岗位。

二、美国联邦政府网络安全人才职位分类实践中存在的主要问题

美国联邦政府网络安全人才职位分类制度设计精细、配套制度完备，有力助推了人才的标准化培养与职业化管理。然而，在具体实践过程中，由于难以保证编码的准确性、缺乏适配的劳动力政策转化工具，导致目前的双系统职位分类体系并未达到“专才专用”、“适才适遇”的制度设计预期。

首先，成功的人力资本管理和劳动力规划依赖于有效、可靠的人才评估数据。由于存在官僚障碍、2210IT管理职业序列混淆非网络相关工作职能等系统性问题，致使现有的职位分类数据并不精确，难以精准评估联邦政府网络安全人才的规模、分布和需求。2019年政府问责局（GAO）发布的评估报告数据显示，24家联邦政府机构中有6家机构未完全实现对空缺网络安全职位的编码分配，有22家机构对职位进行了错误的分类，为2210IT管理职业系列中约19%的执行网络安全相关职能的职位分配了非相关的工作角色代码。此外，6个被选中机构为近53%随机样本职位分配了与职位说明中描述的工作职责不一致的工作角色代码。

其次，现有的双系统编码体系分别用于不同的用途，未能形成合力充分转化为灵活有效的招聘和留用政策工具。目前人事管理局的传统职位分类体系主要服务于人事管理，在整个政府部门范围内提供特定职业标准、确定薪酬系统；基于NICE框架的三位数编码结构主要服务于人才规划，其用途是提供信息帮助机构领导人识别、确定亟需的网络安全职位，与人才招聘和留用环节未形成有效人才政策对接。由于联邦政府网络安全人才薪酬政策较之私营企业缺乏竞争力，人事管理局为此量身定制了个性化的招聘和留用政策。然而，这些优惠政策主要面向极个别特定的职业序列，包含的网络安全岗位极为有限，难以从根本上解决联邦政府网络安全人才招人难、留人难的问题。如“直接雇用权”招聘政策（DHA）则主要面向2210IT管理职业系列中的相关岗位，“IT 特殊薪酬”（IT Special Rates）政策主要针对0854计算机工程师职业系列、1550计算机科学专家职业系列和2210IT管理职业系列中的网络安全岗位。

三、结论及启示

“专才专用”和“适才适遇”是职位分类制度设计的主要初衷。有效的职位分类制度既要体现“因事设人”，在职位分类中充分体现网络安全职业的专业特点；又要强调“人本管理”，使职位分类在人事管理各环节中能发挥实际管理效用。

首先，美国职位分类制度的总体改革趋势是分类日趋简化，这种趋势同样适用于网络安全人才。由于网络安全是新兴行业领域，其职业边界仍在不断发展演变，过于精细、繁琐的职位分类不仅缺乏弹性，容易致使分类流于形式，难以匹配职业发展的实际需要；还会耗费大量行政资源，影响人事管理的行政效率。在职位分类具体实践中，需要兼顾标准性和灵活性之间的平衡，紧密对接快速变化的行业需求。

其次，职位分类的最终目的是服务于人事管理，需要在实践中为人事政策转化留有余地，有效适配选、育、用、留人事管理环节。一方面，鉴于网络安全人才的稀缺性，必须在实践中将职位分类转化为有针对性的招聘和留用政策工具，实现标准性和适用性之间的平衡。此外，与《NICE网络安全人才框架》最新修订版中采用“模块式”定制人才框架的方法相类似，职位分类在实践中亦要留有一定的弹性空间，从而赋予各部门一定的政策自主权，实现因地制宜的岗位设置和人才政策设计。