国土安全部迫切需要采取行动明确网络安全人才地位和关键技能要求

与其相忘于江湖，不如点击“蓝字”关注

（一）概述

国土安全部是负责保护国家重要基础设施的牵头机构。 2014年的“国土安全网络安全人员评估法”要求国土安全部为所有的网络安全人员岗位确定、分类和分配就业代码。这些代码定义了网络安全专业领域的工作角色和任务，如项目管理和系统管理。此外，该法还要求国土安全部确定和报告其网络安全人员的关键需求。

该法案规定还要求GAO分析和监督DHS实施的要求，来评估DHS：

（1）是否为网络安全职位明确、分类以及指定了就业代码，

（2）是否确定了关键需求所需的网络安全人员。 GAO分析了DHS和OPM人力文件，向六个主要的DHS部门管理数据收集工具。 GAO还采访了相关的DHS和OPM官员。

GAO的发现

国土安全部（DHS）已经采取行动，确定、分类和分配网络安全职位的就业代码;但是，其行动并不及时，完整。例如，国土安全部没有建立及时和完整的程序，以确定、分类和编码网络安全职位的空缺和职责。此外，国土安全部尚未完成明确所有网络安全职位的工作，没有准确地将代码分配给所有空缺的网络安全职位。 2017年8月，国土安全部向国会报告说，已经编制了部门确定的网络安全职位的95％。但是，GAO的分析结果表明，当时该部门已经编制了大约79％的职位。国土安全部95％的估计被夸大了。

此外，尽管国土安全部已经采取措施来确定其网络人员人员能力差距，但并未向国会报告与专业领域相一致的全部的网络安全关键岗位需求。DHS也没有根据要求，每年向人事管理办公室（OPM）报告其网络安全的关键需求，也没有制定明确规定时间表的计划。

（二）DHS的有关部门

美国国土安全部是联邦政府第三大部门，雇用了大约24万人，其年度预算约为600亿左右，其中2017年的IT部门是64亿美元。DHS确保我们国家的公有和私营关键基础设施信息系统。例如，DHS与其他联邦合作伙伴合作，收集和分享有关网络威胁和网络安全风险和事件的信息，以进行实时行动来减小风险。

DHS由15个部门组成：7个前线或业务部门和8个支持部件。业务部门负责一线行动，以保护国家，而支持部门则提供资源，分析，设备，服务和其他支持，以确保业务部门有工具和资源来完成部门的使命。图1中确定了15个业务和支持部门，其中包括我们审查的6个部门。

这些部门履行各种各样的网络安全职能。这些功能包括打击网络犯罪、响应网络事件; 分享网络相关信息，包括威胁和最佳做法; 提供网络安全培训和教育; 并确保私营关键基础设施和非军事联邦网络的安全。表1描述了我们选择的六个部门使命和网络安全职能。（GAO抽取了6个部门）

1、美国海关与边境保护局（CBP）

美国海关边防局（CBP）将保护美国的边界，从而保护公众免受危险的人员和物资的侵害，同时通过合法的贸易和旅行提高国家的全球经济竞争力。 CBP的网络安全人员主要保护其系统、网络和数据。

2、部门管理和运营（DMO）

DMO将为部长和副部长提供支持。 DMO负责美国国土安全部资金、信息技术系统，设施和设备的预算和拨款和支出，以及绩效测量的识别和跟踪。 DMO的网络安全人员正在制定和实施DHS的网络安全相关人力政策和计划，保护DHS的系统，网络和数据。作为DMO的一部分，the Office of the Chief Human Capital Officer (OCHCO)负责协调该部门的全面工作，以确定OPM和国会的网络安全工作进展分类、编码和报告。首席信息官办公室和总法律顾问办公室分别负责制定和实施信息安全方案，并就网络安全问题提供法律咨询意见。

3、国家保护与计划管理局（NPPD）

NPPD将保护和加强国家实体和网络基础设施的弹性。与各级政府，私营和非营利部门的合作伙伴合作，分享信息，建立更大的信任，使国家网络和实体基础设施更加安全。 NPPD是履行该部门的国家的、非执法网络安全任务的主要组成部分，以及为联邦政府网络提供危机管理，事件响应和防范网络攻击。

4、美国特勤局（USSS）

USSS将保护指定的被保护者，调查对受保护者的威胁，以及调查财务和计算机犯罪; 预计也有助于确保国家的银行和金融关键基础设施。 USSS的网络安全人员主要进行刑事调查，并保护其系统，网络和数据。

5、科学技术局（S＆T）

科技局将进行与国土安全部相关的基础和应用研究，开发，演示，测试和评估活动。科技的网络安全人员为国土安全企业进行网络安全研究和开发，并保护其系统，网络和数据。

6、美国公民和移民服务局（USCIS）

USCIS负责监督合法移民到美国。其使命是向移民局的客户提供准确和有用的信息，给予移民和公民身份的好处，提高公民意识和理解，并确保国家移民体系的完整性。USCIS的网络安全人员主要是保护其系统，网络和数据。

（三）几点发现

GAO的报告中阐述了DHS做的好的和不好的部分，本文中主要摘录是DHS已经做到了哪些工作。

1、DHS尚未全面确定网络安全职位，未以完整和可靠的方式分配职业代码。

DHS没有及时制定完整的程序或审查其部门程序。另外，由于流程是手工的，无证据的，资源密集型的，因此没有完全可靠地识别和分配就业代码。如表3所示，该部门没有确定和分配就业代码，其中两项工作仍在进行中。

2016年4月，DHS发布了“网络安全人员编码指南”（Cybersecurity Workforce Coding guidance）指出，各部门应确保有程序来监测和更新职业代码。“联邦政府内部控制标准”建议管理层分配责任并委托关键角色，每个部门都应制定程序以实现目标。该标准还建议管理层定期审查这些程序，以确定这些程序的制定，相关性和有效性。

为此，OCHCO制定了程序和建议实施步骤，为各部门的网络安全岗位编码，包括用于确定网络安全职位的标准。例如，程序规定，如果一个岗位至少有25％的时间用于执行网络安全工作，则应被确定为网络安全职位。

HSCWAA要求DHS在2015年9月之前确定所有网络安全职位，包括空缺职位。截至2016年12月，DHS报告已确定了10,725个网络安全职位，其中包括6,734个联邦民事职位，584个军事职位和3,407个承包商职位.但是，截至2017年11月，该部门尚未完成识别其所有网络安全职位或确定职位的工作类别或专业领域。例如，我们审查的六个DHS部分中有三个没有确定他们的空缺网络安全职位。 OCHCO官员指出，由于该部门没有追踪职位空缺的体系，因此在报告确定的空缺职位方面有所不同。

国土安全部还报告说，最常见的情况是，其网络安全职位的工作类别或专业领域是““protect and defend”，“securely provision”和“oversight and development”工作类别，在“安全方案管理”和NICE框架的“漏洞评估与管理”专业领域。国土安全部报告说，国土安全部15个部门中至少有12个在这些类别和专业领域拥有网络安全职位。但是，国土安全部不能提供数据来显示每个类别和专业领域的实际职位数量。

2、DHS尚未确定或报告整个部的网络安全工作领域的关键需求

HSCWAA要求DHS根据NICE框架确定其网络安全工作类别和重要需求专业领域，并在2016年6月之前向国会报告。但是DHS尚未确定其网络安全工作类别和符合NICE框架的关键需求专业领域。该部门确定了劳动力技能差距，并将这些信息纳入了2017年3月提交给国会委员会的报告中。然而，该部门并没有按照HSCWAA的要求，将劳动力技能差距报告与NICE框架的工作类别和专业领域相匹配。

截至2017年9月，该部门仍在继续进行DHS网络安全人员战略，尚未完成初步的网络安全人员研究。

附录

国家网络安全教育倡议（NICE) 网络安全人才框架类别和专业领域定义和相应的人事管理办公室（OPM）代码

文章来源：向日葵生活分享

END

更多资讯，请点击“阅读原文”