◎北京電子科技學院 李艷

職位分類制度是構建人力資源戰(zhàn)略體系的基礎環(huán)節(jié)。作為世界上最早創(chuàng)設公務員職位分類制度的國家，美國以人事管理局職位分類體系和《NICE網絡安全人才框架》為抓手，構建了標準化的聯邦政府網絡安全人員職位分類制度。本文對美國聯邦政府網絡安全人才職位分類的現狀及問題進行了系統剖析，以期為我國實施網絡安全人才分類管理制度提供借鑒。

一、美國聯邦政府網絡安全人才職位分類制度建設概況

由于在網絡安全和信息技術等技術領域飽受技能鴻溝和人才數量短缺問題困擾，戰(zhàn)略人力資本管理長期位列于美國政府問責局的高風險名單上。在專業(yè)技術人才持續(xù)短缺的背景下，構建標準化的職位分類制度進而科學評估、統籌確定各機構關鍵的網絡安全人才需求缺口被界定為聯邦政府網絡安全人才隊伍建設的核心問題。目前美國聯邦政府各部門聯合使用兩種并行的職業(yè)編碼系統對網絡安全人才進行職位分類，一種是傳統的人事管理局職位分類體系，另一種是基于《NICE網絡安全人才框架》開發(fā)的編碼體系。

（一）傳統的人事管理局職位分類體系

作為公務員職位分類制度的發(fā)源地，美國國會早在1923年就頒布了《職位分類法》正式推行職位分類制度，其主旨在于通過“因事設人”、“因事定級”實現聯邦政府人事管理工作的科學化、精細化和公平性。職位分類的程序通常包括決定薪酬體系、確定職位系列、選擇職務名稱和確定職位等級幾個具體步驟。根據人事管理局2008年發(fā)布的最新版《職位族類手冊》，現有聯邦政府非高級公務員職位可分為白領和藍領兩大職族。前者適用一般職位表（General Schedule,GS）薪酬系統，在橫向上可進一步細分為5大職類、23個職組和406個職系，在縱向上可再進行職等和職級的劃分。目前人事管理局并未針對網絡安全相關職位設置專門的職業(yè)系列，大多數職位可歸類于白領職族2200IT職組下的2210IT管理職業(yè)系列，實行兩級間隔職等晉升模式。

在具體的分類實踐中，由于網絡安全工作橫跨諸多專業(yè)類型，包含多種背景、角色、行業(yè)，決定了網絡安全相關的工作崗位無法全部涵蓋在單一2210IT管理職業(yè)系列范圍內。此外，網絡安全工作的高度跨學科屬性使得職位分類的判斷變得愈加復雜，因為即使在2210IT管理職業(yè)系列也不是所有的職位都與網絡安全相關。通常情況下，依據人事管理局出臺的網絡安全職位解釋指南，通過檢視特定職位的任務和責任，基于職位的主要業(yè)務、工作難度和所需知識水平可判定職位的職業(yè)系列歸屬。當工作職位可與多個職組相匹配，或在一個職組可從屬于多個職系時，則需要通過審查職位所需的最重要的職業(yè)知識、設置職位的主要目的、組織使命和職能以及招聘來源最終確定所屬的職業(yè)系列。

按照美國法典第5篇要求，為服務于人力資源、預算和財政管理需要，人事管理局需在發(fā)布的職業(yè)系列分類標準中一并確立職位的官方稱謂。職位官方稱謂包含正式基本名稱，且可以附加1個或多個前綴或后綴名稱。針對2210IT管理職業(yè)系列中包含網絡安全工作的職位，人事管理局將基本官方頭銜界定為“IT網絡安全專家”。此外，為便于招聘和組織需要，2210IT管理職業(yè)系列的網絡安全相關職位可添加人事管理局規(guī)定的11個括號標題標明職位的專業(yè)領域，補充說明該職位需履行的工作職責和所需的特殊知識和技能，如“IT網絡安全專家（網絡服務）”職位。歸屬于其他職業(yè)系列包括網絡安全功能的職位可添加附加標題“網絡安全”來補充基本官方職位頭銜，如“計算機科學家（網絡安全）”職位。此外，也可按照《NICE網絡安全人才框架》中的專業(yè)領域作為括號標題對網絡安全職位進行補充說明，如“IT網絡安全專家（事故響應/數字取證）”。

（二）基于《NICE網絡安全人才框架》的3位數編碼體系

奧巴馬政府時期，決策界高層將網絡威脅列為美國“面臨的最重要的國家安全、公共安全和經濟挑戰(zhàn)之一”，這意味著網絡安全提升至國家決策最高層級。這種戰(zhàn)略認知層面的轉變促使美國啟動一系列行動舉措強化網絡安全人才培養(yǎng)問題，其首要政策抓手即是美國國家標準技術研究院（NIST）2010年推出的“國家網絡安全教育計劃”（NICE）。為助推NICE計劃落地，美國國土安全部和人事管理局2011年9月發(fā)布《NICE網絡安全人才框架(草案)》，著眼于從構建網絡安全人才評價基準這一基礎性課題著手，旨在為不同行業(yè)領域網絡安全人才隊伍實施標準化培養(yǎng)和管理奠定根基。在廣泛征求多方意見的基礎上，經過政、產、學界反復討論與多次修訂，2017年8月，NIST正式發(fā)布了《NICE網絡安全人才框架》，即NIST SP800-181標準。框架系統梳理了網絡安全工作的門類、專業(yè)領域和工作角色分類，采用通用的語言明確了不同網絡安全工作角色所需履行的任務職責（Task）及勝任該職責所需具備的知識、技能和能力（KSAs），將網絡安全人才劃分為7大門類、33個專業(yè)領域和52個角色。2020年11月，NIST對框架進行了修訂，其主要變化一是簡化框架要素，刪除了類別和專業(yè)領域；二是強調框架的包容性和靈活性，改變了先前將工作角色與知識、技能和能力相關聯的固化方法，采用構建任務、知識和技能（TKS）模塊的方法界定兩個核心概念：網絡安全工作和學習者（包括學生、求職者和雇員）。除利用通用模塊實現工作和學習者環(huán)境的連接外，組織還可以根據其獨特的操作環(huán)境定制和實施個性化的模塊應用，以實現特定工作需求。

《NICE網絡安全人才框架》出臺后，人事管理局2012年跟進出臺了與之適配的兩位數網絡安全職位編碼體系。2015年，美國國會通過《聯邦網絡安全人才評估法案》(FCWAA)，要求各部門識別確定網絡相關職能的在任和空缺工作崗位，并依照NICE網絡安全人才框架建立編碼規(guī)則為這些職位分配相應的職業(yè)編碼。至此，美國聯邦政府獨具特色的網絡安全人才雙系統職位分類體系正式形成。為落實法案要求，人事管理局與NIST合作，對標2017年發(fā)布的正式版《NICE網絡安全人才框架》中新引入的工作角色概念對2012年版的兩位數編碼體系進行了升級，開發(fā)了一套三位數的網絡安全職業(yè)編碼體系。按照編碼規(guī)則，各機構可為每個職位分配至多三個網絡安全編碼。這套三位數職業(yè)編碼體系聚焦于人才發(fā)展，旨在提供信息幫助機構領導者確定組織迫切亟需的關鍵技能或崗位。

二、美國聯邦政府網絡安全人才職位分類實踐中存在的主要問題

美國聯邦政府網絡安全人才職位分類制度設計精細、配套制度完備，有力助推了人才的標準化培養(yǎng)與職業(yè)化管理。然而，在具體實踐過程中，由于難以保證編碼的準確性、缺乏適配的勞動力政策轉化工具，導致目前的雙系統職位分類體系并未達到“專才專用”、“適才適遇”的制度設計預期。

首先，成功的人力資本管理和勞動力規(guī)劃依賴于有效、可靠的人才評估數據。由于存在官僚障礙、2210IT管理職業(yè)序列混淆非網絡相關工作職能等系統性問題，致使現有的職位分類數據并不精確，難以精準評估聯邦政府網絡安全人才的規(guī)模、分布和需求。2019年政府問責局（GAO）發(fā)布的評估報告數據顯示，24家聯邦政府機構中有6家機構未完全實現對空缺網絡安全職位的編碼分配，有22家機構對職位進行了錯誤的分類，為2210IT管理職業(yè)系列中約19%的執(zhí)行網絡安全相關職能的職位分配了非相關的工作角色代碼。此外，6個被選中機構為近53%隨機樣本職位分配了與職位說明中描述的工作職責不一致的工作角色代碼。

其次，現有的雙系統編碼體系分別用于不同的用途，未能形成合力充分轉化為靈活有效的招聘和留用政策工具。目前人事管理局的傳統職位分類體系主要服務于人事管理，在整個政府部門范圍內提供特定職業(yè)標準、確定薪酬系統；基于NICE框架的三位數編碼結構主要服務于人才規(guī)劃，其用途是提供信息幫助機構領導人識別、確定亟需的網絡安全職位，與人才招聘和留用環(huán)節(jié)未形成有效人才政策對接。由于聯邦政府網絡安全人才薪酬政策較之私營企業(yè)缺乏競爭力，人事管理局為此量身定制了個性化的招聘和留用政策。然而，這些優(yōu)惠政策主要面向極個別特定的職業(yè)序列，包含的網絡安全崗位極為有限，難以從根本上解決聯邦政府網絡安全人才招人難、留人難的問題。如“直接雇用權”招聘政策（DHA）則主要面向2210IT管理職業(yè)系列中的相關崗位，“IT 特殊薪酬”（IT Special Rates）政策主要針對0854計算機工程師職業(yè)系列、1550計算機科學專家職業(yè)系列和2210IT管理職業(yè)系列中的網絡安全崗位。

三、結論及啟示

“專才專用”和“適才適遇”是職位分類制度設計的主要初衷。有效的職位分類制度既要體現“因事設人”，在職位分類中充分體現網絡安全職業(yè)的專業(yè)特點；又要強調“人本管理”，使職位分類在人事管理各環(huán)節(jié)中能發(fā)揮實際管理效用。

首先，美國職位分類制度的總體改革趨勢是分類日趨簡化，這種趨勢同樣適用于網絡安全人才。由于網絡安全是新興行業(yè)領域，其職業(yè)邊界仍在不斷發(fā)展演變，過于精細、繁瑣的職位分類不僅缺乏彈性，容易致使分類流于形式，難以匹配職業(yè)發(fā)展的實際需要；還會耗費大量行政資源，影響人事管理的行政效率。在職位分類具體實踐中，需要兼顧標準性和靈活性之間的平衡，緊密對接快速變化的行業(yè)需求。

其次，職位分類的最終目的是服務于人事管理，需要在實踐中為人事政策轉化留有余地，有效適配選、育、用、留人事管理環(huán)節(jié)。一方面，鑒于網絡安全人才的稀缺性，必須在實踐中將職位分類轉化為有針對性的招聘和留用政策工具，實現標準性和適用性之間的平衡。此外，與《NICE網絡安全人才框架》最新修訂版中采用“模塊式”定制人才框架的方法相類似，職位分類在實踐中亦要留有一定的彈性空間，從而賦予各部門一定的政策自主權，實現因地制宜的崗位設置和人才政策設計。