2010年,美國(guó)聯(lián)邦政府制定了第一個(gè)名為“云優(yōu)先(Cloud First)”的云戰(zhàn)略。這一政策是在云技術(shù)相對(duì)較初期的時(shí)候制定的,它為各美國(guó)聯(lián)邦政府機(jī)構(gòu)提供了廣泛的采用基于云解決方案的權(quán)利。但是,由于沒有執(zhí)行計(jì)劃或策略,各機(jī)構(gòu)上云的速度很慢。雖然Cloud First成功地強(qiáng)調(diào)了IT現(xiàn)代化工作的重要性,但其缺點(diǎn)需要得到校正。
這也是2018年10月新一屆美國(guó)政府重新制定了云敏捷(Cloud Smart)戰(zhàn)略的原因,“云敏捷”是一種新的戰(zhàn)略,該戰(zhàn)略讓各機(jī)構(gòu)采用可以簡(jiǎn)化轉(zhuǎn)型并擁抱具有現(xiàn)代化能力的云解決方案。云敏捷專注于為聯(lián)邦政府機(jī)構(gòu)提供必要的工具,使其能夠根據(jù)其使命需求做出信息技術(shù)決策,并利用私營(yíng)部門的解決方案為美國(guó)人民提供最佳服務(wù)。
以下翻譯自美國(guó)聯(lián)邦政府首席信息官辦公室的2018更新版“聯(lián)邦政府云戰(zhàn)略”:
云敏捷(Cloud Smart)包含IT現(xiàn)代化的幾個(gè)關(guān)鍵組成部分,包括安全性、采購(gòu)和人員。從歷史上看,隔離了這些領(lǐng)域的策略,造成了對(duì)需求、任務(wù)和需求的混淆和誤解。但是,它們之間存在深刻的聯(lián)系,并且需要一個(gè)綜合的、跨學(xué)科的方法,而不是采用一刀切方式對(duì)待IT現(xiàn)代化。云敏捷將這些學(xué)科結(jié)合在一起,形成一個(gè)緊密結(jié)合的戰(zhàn)略,以交付節(jié)約、安全和更快的關(guān)鍵任務(wù)服務(wù)解決方案。
聯(lián)邦政府各機(jī)構(gòu)(以下簡(jiǎn)稱:機(jī)構(gòu)或行政機(jī)構(gòu))需要與同行分享變革經(jīng)驗(yàn),以便聯(lián)邦政府能夠利用集體獲取的知識(shí)。評(píng)估、使用和共享知識(shí)的能力,是私營(yíng)部門IT現(xiàn)代化成功的驅(qū)動(dòng)力——美國(guó)聯(lián)邦政府的方法應(yīng)該沒有什么不同。通過立即投資這些能力,各機(jī)構(gòu)將確保以最佳、最明智的方式為使命服務(wù),并管理納稅人的資金。
關(guān)鍵行動(dòng)
美國(guó)聯(lián)邦政府首席信息官理事會(huì)和首席財(cái)務(wù)官理事會(huì)將與行政管理和預(yù)算辦公室、總務(wù)管理局、國(guó)土安全部和其他聯(lián)邦機(jī)構(gòu)合作制定推進(jìn)到云敏捷的議程,并在接下來的18個(gè)月中制定行動(dòng)計(jì)劃,交付有針對(duì)性的政策更新。該計(jì)劃將保持技術(shù)中立,并將酌情考慮基于外部供應(yīng)商的解決方案、自有托管解決方案、機(jī)構(gòu)之間內(nèi)部共享服務(wù)、多云和混合解決方案。為了讓這些行政機(jī)構(gòu)在21世紀(jì)保持高效,這些云敏捷行動(dòng)將需要隨著時(shí)間的推移不斷進(jìn)行評(píng)估和改進(jìn),以跟上不斷變化的市場(chǎng)和新興技術(shù)。
云概覽
(重新)定義云計(jì)算
聯(lián)邦政府內(nèi)部的“云”一詞,通常用于指外部供應(yīng)商提供的任何技術(shù)解決方案。在實(shí)際工作中,“云計(jì)算”是指允許從共享資源池快速供應(yīng)系統(tǒng)或服務(wù)的各種技術(shù),包括從私營(yíng)公司提供的托管電子郵件解決方案,到在聯(lián)邦政府所有的數(shù)據(jù)中心服務(wù)器上運(yùn)行的可擴(kuò)展應(yīng)用程序容器。云遷移策略不應(yīng)被視為誰(shuí)擁有計(jì)算資源、數(shù)據(jù)和設(shè)施的問題,而應(yīng)該被視作是這個(gè)解決方案能否改進(jìn)向公民提供的服務(wù)的問題。評(píng)估服務(wù)的特定功能(例如自動(dòng)可伸縮性)在評(píng)估解決方案時(shí)非常有用,而不僅僅是考慮應(yīng)用程序是否為“云”。
以前關(guān)于云技術(shù)話題的大部分指導(dǎo),都在關(guān)注其潛在的好處而不是實(shí)現(xiàn)結(jié)果。例如,將應(yīng)用程序從傳統(tǒng)數(shù)據(jù)中心移動(dòng)到虛擬化基礎(chǔ)架構(gòu)供應(yīng)商,通常并不能實(shí)現(xiàn)自動(dòng)應(yīng)用程序可伸縮性以適應(yīng)增長(zhǎng)的用戶需求。為了實(shí)現(xiàn)這一目標(biāo),通常需要重構(gòu)應(yīng)用程序以利用自動(dòng)配置和自動(dòng)擴(kuò)展等新功能,這必須考慮到項(xiàng)目的分析和規(guī)劃中。
傳統(tǒng)的云部署模型反映了在系統(tǒng)層增加供應(yīng)商主導(dǎo)權(quán)的進(jìn)程,從供應(yīng)商僅提供基礎(chǔ)架構(gòu)和硬件的基礎(chǔ)架構(gòu)即服務(wù)(IaaS)到由供應(yīng)商提供托管和基礎(chǔ)架構(gòu)管理的平臺(tái)即服務(wù)(PaaS),再到行政機(jī)構(gòu)只需提供數(shù)據(jù),而大多數(shù)其它能力和功能則由供應(yīng)商提供的軟件即服務(wù)(SaaS)來完成。云服務(wù)行業(yè)自那以后在不同的層次上轉(zhuǎn)向了更加精細(xì)的能力劃分。開源和專有產(chǎn)品的快速發(fā)展,使得在任何云服務(wù)層面,都能實(shí)現(xiàn)任何形式的供應(yīng)商和政府主導(dǎo)權(quán)/所有權(quán)組合?,F(xiàn)在,大多數(shù)主要供應(yīng)商都會(huì)根據(jù)最終用戶的需求提供各種可用的上云路徑和服務(wù)。在技術(shù)創(chuàng)新方面處于領(lǐng)先地位的行業(yè)也證明,混合云和多云環(huán)境是有效且高效的。
私營(yíng)企業(yè)現(xiàn)在提供如此廣泛的可能解決方案,各行政機(jī)構(gòu)必須具備適當(dāng)?shù)臈l件,根據(jù)它們的服務(wù)和使命需要評(píng)估所能作出的選擇。各機(jī)構(gòu)應(yīng)考慮最終用戶對(duì)成本和風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)的影響,對(duì)計(jì)算能力和技術(shù)制定決策。
現(xiàn)代化與成熟度
云技術(shù)的采用,要求各行政機(jī)構(gòu)優(yōu)先考慮遷移規(guī)劃、維護(hù)和組織成熟度,以實(shí)現(xiàn)這些服務(wù)的全部?jī)?yōu)勢(shì)。失敗的一種方式是,當(dāng)組織購(gòu)買解決方案時(shí),沒有正確識(shí)別需求和預(yù)期的結(jié)果。這可能導(dǎo)致項(xiàng)目無(wú)法啟動(dòng),云服務(wù)在峰值需求時(shí)出現(xiàn)問題,或者僅僅是機(jī)構(gòu)范圍內(nèi)的冗余采購(gòu)。
隨著技術(shù)的變化,機(jī)構(gòu)信息技術(shù)戰(zhàn)略也需要成熟?,F(xiàn)代化是一項(xiàng)持續(xù)的承諾,不是每十年一次的單一干預(yù)措施。相反,現(xiàn)代化是一種不斷變化的狀態(tài),也是每個(gè)機(jī)構(gòu)日常技術(shù)業(yè)務(wù)的一部分。為此,需要反復(fù)改進(jìn)政策、指導(dǎo)和要求,以適應(yīng)不斷變化的需求,引導(dǎo)成熟的工作實(shí)踐并推動(dòng)積極成果。
為了加速上云和用云,應(yīng)該期望機(jī)構(gòu)定期評(píng)估其在整個(gè)行政機(jī)構(gòu)中的成熟度。安全、采購(gòu)和人員是需要認(rèn)真考慮和投資、以確保成功用云的三個(gè)關(guān)鍵領(lǐng)域。機(jī)構(gòu)人員還應(yīng)根據(jù)所選擇的解決方案,評(píng)估公民對(duì)效率、可訪問性和隱私的需求。
例如,為了利用云的分布式特性,將安全控制從網(wǎng)絡(luò)邊界移動(dòng)到更接近數(shù)據(jù)本身的位置可以改善整體的安全狀況。為了實(shí)現(xiàn)云基礎(chǔ)架構(gòu)的可擴(kuò)展性、穩(wěn)定性、安全性和快速上線的優(yōu)勢(shì),機(jī)構(gòu)人員需要利用現(xiàn)代敏捷開發(fā)技能。機(jī)構(gòu)還需要采用多學(xué)科實(shí)踐,推動(dòng)更高級(jí)別的自動(dòng)化和邏輯控制的使用。為了更好地最大化投資回報(bào),機(jī)構(gòu)人員應(yīng)該能夠比較各種可能的服務(wù)組合,并使用最佳的合同來采購(gòu)它們。
各機(jī)構(gòu)應(yīng)審查其信息技術(shù)組合,以確定現(xiàn)有工具的現(xiàn)代化計(jì)劃。鼓勵(lì)他們執(zhí)行并利用完整的系統(tǒng)和應(yīng)用程序合理化,鼓勵(lì)那些尚未開始此過程的人,立即開始。作為此項(xiàng)工作的一部分,機(jī)構(gòu)應(yīng)考慮是否可以利用虛擬化、容器化和其它現(xiàn)代實(shí)踐,來提高行政機(jī)構(gòu)擁有的數(shù)據(jù)中心和供應(yīng)商服務(wù)的效率。根據(jù)聯(lián)邦信息技術(shù)采購(gòu)改革法案(FITARA),該流程應(yīng)由機(jī)構(gòu)層面的首席信息官(CIO)監(jiān)督,以幫助確定整個(gè)機(jī)構(gòu)改進(jìn)的潛在機(jī)會(huì)。
安全
在向美國(guó)總統(tǒng)提交的《2017年聯(lián)邦信息技術(shù)現(xiàn)代化報(bào)告》中,概述了聯(lián)邦信息技術(shù)的未來,認(rèn)為各政府機(jī)構(gòu)將進(jìn)一步采取一種基于風(fēng)險(xiǎn)的方法來確保其系統(tǒng)安全,這種方法將適當(dāng)強(qiáng)調(diào)數(shù)據(jù)級(jí)保護(hù),并充分利用現(xiàn)代虛擬化技術(shù)。這個(gè)重新聚焦的焦點(diǎn),必須由機(jī)構(gòu)領(lǐng)導(dǎo)、任務(wù)所有者、IT人員和治理機(jī)構(gòu)推動(dòng)。
聯(lián)邦政府的網(wǎng)絡(luò)安全政策和能力的演變對(duì)IT現(xiàn)代化至關(guān)重要。為了實(shí)施基于風(fēng)險(xiǎn)的上云方法,機(jī)構(gòu)人員應(yīng)該轉(zhuǎn)向數(shù)據(jù)層的安全和保護(hù),而不是網(wǎng)絡(luò)和物理基礎(chǔ)設(shè)施層,改進(jìn)系統(tǒng)治理也是如此。此外,至關(guān)重要的是,機(jī)構(gòu)必須全面可見其內(nèi)部和云中數(shù)據(jù),以便執(zhí)行持續(xù)監(jiān)視以檢測(cè)惡意活動(dòng)。隨著機(jī)構(gòu)人員開展現(xiàn)代化的工作,他們應(yīng)首先將這些能力應(yīng)用于高風(fēng)險(xiǎn)、高價(jià)值的資產(chǎn),以便充分利用云提供的所有功能。
以下計(jì)劃是當(dāng)前安全戰(zhàn)略的重要組成部分,必須隨著技術(shù)格局的變化而發(fā)展。但是,通過此次更新,機(jī)構(gòu)需要從安全整體性的角度,考慮預(yù)期的結(jié)果和能力,而不僅僅是計(jì)劃。
可信互聯(lián)網(wǎng)連接
2007年發(fā)布的M-08-05 實(shí)施可信互聯(lián)網(wǎng)連接 (TIC),旨在標(biāo)準(zhǔn)化聯(lián)邦機(jī)構(gòu)使用的外部網(wǎng)絡(luò)連接的安全性,同時(shí)減少外部網(wǎng)絡(luò)連接的數(shù)量??尚呕ヂ?lián)網(wǎng)連接策略是在各機(jī)構(gòu)的大部分系統(tǒng)維護(hù)都運(yùn)行在機(jī)構(gòu)自有和運(yùn)營(yíng)的網(wǎng)絡(luò)中,以及網(wǎng)絡(luò)受到物理限制時(shí),所制定的策略。從那時(shí)起,隨著私有云服務(wù)的普及、軟件定義網(wǎng)絡(luò)的出現(xiàn)和在移動(dòng)端工作人員的增加,技術(shù)領(lǐng)域發(fā)生了巨大的變化。安全性的改進(jìn),現(xiàn)在由標(biāo)準(zhǔn)和安全連接驅(qū)動(dòng),而不是由有限的物理連接驅(qū)動(dòng)。
在目前的情況下,要求所有機(jī)構(gòu)的網(wǎng)絡(luò)流量都通過有限數(shù)量的可信互聯(lián)網(wǎng)連接,這種一刀切的策略已不再可行。這種設(shè)計(jì)選擇,阻礙了行政機(jī)構(gòu)獲取新技術(shù)的能力,包括商業(yè)云解決方案,這些解決方案使用分布式網(wǎng)絡(luò)模型并使用虛擬而非物理的數(shù)據(jù)控制。此外,傳統(tǒng)的基礎(chǔ)設(shè)施設(shè)計(jì),降低了機(jī)構(gòu)利用新技術(shù)的能力,例如創(chuàng)建不受傳統(tǒng)防火墻約束的零信任網(wǎng)絡(luò)。
由于這些限制因素,各個(gè)機(jī)構(gòu)與美國(guó)國(guó)土安全部合作制定了針對(duì)具體機(jī)構(gòu)的解決方案,以緩解相關(guān)工作效力下降問題。這項(xiàng)工作的結(jié)果,將以某種方式共享, 以強(qiáng)化受信任互聯(lián)網(wǎng)連接的替代方式,包括更新可信網(wǎng)絡(luò)連接參考體系架構(gòu),以證明某項(xiàng)目的目標(biāo)可以不需要路由所有流量經(jīng)過有限的物理訪問點(diǎn)。在不需要通過可信網(wǎng)絡(luò)連接路由流量的用例中,機(jī)構(gòu)必須實(shí)施DHS指定的控制,以確保聯(lián)邦機(jī)構(gòu)的安全性具有合理的基準(zhǔn)級(jí)別。鑒于聯(lián)邦機(jī)構(gòu)中存在的各種平臺(tái)和部署,可信網(wǎng)絡(luò)連接參考體系結(jié)構(gòu)還將證明,不需通過受信網(wǎng)絡(luò)路由流量就可以滿足政府級(jí)入侵檢測(cè)和預(yù)防工作要求的用例到底有何不同,例如EINSTEIN計(jì)劃。
持續(xù)的數(shù)據(jù)保護(hù)和意識(shí)
遷移到基于云的環(huán)境會(huì)改變行政機(jī)構(gòu)可能已經(jīng)支持的網(wǎng)絡(luò)可見性和數(shù)據(jù)保護(hù)形態(tài)。隨著數(shù)據(jù)轉(zhuǎn)換到各種網(wǎng)絡(luò)并停留在各種位置,例如終端用戶的設(shè)備、身份和憑證,訪問管理(ICAM)和加密變得越來越重要。
聯(lián)邦g政府的行政機(jī)構(gòu)是代表公眾的數(shù)據(jù)保管人。因此,每個(gè)機(jī)構(gòu)應(yīng)確定自己的云托管數(shù)據(jù)治理模型,與其身份和安全憑證管理系統(tǒng)保持一致。此外,在供應(yīng)商已經(jīng)部署了云解決方案的情況下,應(yīng)建立服務(wù)級(jí)別協(xié)議(SLA),以便機(jī)構(gòu)持續(xù)了解其數(shù)據(jù)的機(jī)密性、安全性和可用性。
此外,行政機(jī)構(gòu)應(yīng)該了解這些數(shù)據(jù)是否存在于第三方信息系統(tǒng)中,并提供訪問日志數(shù)據(jù)的權(quán)限,如果發(fā)生網(wǎng)絡(luò)事件或其它不利事件,第三方應(yīng)及時(shí)通知機(jī)構(gòu)。各機(jī)構(gòu)應(yīng)考慮與所有提供者(無(wú)論是聯(lián)邦政府還是商業(yè)供應(yīng)商),就訪問和使用日志數(shù)據(jù)進(jìn)行信息安全操作達(dá)成協(xié)議。
行政機(jī)構(gòu)及其合作伙伴應(yīng)定期進(jìn)行對(duì)等信息共享,以打擊惡意網(wǎng)絡(luò)行為。網(wǎng)絡(luò)安全需要公私合作,隨著越來越多的聯(lián)邦實(shí)體采用商業(yè)云解決方案,客戶和供應(yīng)商應(yīng)該攜手保護(hù)信息。此外,DHS的持續(xù)診斷和緩解(CDM)計(jì)劃必須繼續(xù)發(fā)展,以使各機(jī)構(gòu)具備必要的監(jiān)測(cè)工具和能力,以了解其在云中的網(wǎng)絡(luò)風(fēng)險(xiǎn)。
聯(lián)邦風(fēng)險(xiǎn)和授權(quán)管理計(jì)劃
聯(lián)邦風(fēng)險(xiǎn)和授權(quán)管理計(jì)劃(FedRAMP)是一項(xiàng)政府范圍的計(jì)劃,它證明了對(duì)大型云服務(wù)供應(yīng)商進(jìn)行安全評(píng)估、授權(quán)和持續(xù)監(jiān)控的標(biāo)準(zhǔn)化方法的價(jià)值。云服務(wù)供應(yīng)商已經(jīng)展示了通過標(biāo)準(zhǔn)化基準(zhǔn)和通用標(biāo)準(zhǔn)以滿足聯(lián)邦安全要求的能力。隨著供應(yīng)商市場(chǎng)的不斷增長(zhǎng),行政機(jī)構(gòu)已經(jīng)能夠快速脫離舊的、不安全的遺留技術(shù),轉(zhuǎn)而適應(yīng)面向任務(wù)的、安全且具有成本效益的云系統(tǒng)。
雖然通過聯(lián)合授權(quán)委員會(huì),F(xiàn)edRAMP項(xiàng)目管理辦公室已經(jīng)能夠大幅縮短授權(quán)云服務(wù)供應(yīng)商的時(shí)間,但是仍然有工作可以做,以加快授權(quán)新供應(yīng)商的速度。此外,大量的機(jī)構(gòu)特定的流程,使得機(jī)構(gòu)的解決方案授權(quán)運(yùn)營(yíng)流程(ATO)變得復(fù)雜,即使是使用已授權(quán)的云服務(wù)時(shí)也是如此。事實(shí)上,盡管網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理十分重要,但各機(jī)構(gòu)都指出,主要的障礙在于現(xiàn)有的政策和工作方式,把ATO流程從風(fēng)險(xiǎn)承擔(dān)轉(zhuǎn)變?yōu)閯趧?dòng)密集型工作。加速共同ATO協(xié)議和整體流程改進(jìn)的戰(zhàn)略正在制定中,并將在未來的指南中加以解決。
在FedRAMP項(xiàng)目中利用網(wǎng)絡(luò)安全專業(yè)知識(shí),將讓聯(lián)邦政府在采用云系統(tǒng)時(shí)繼續(xù)提高機(jī)構(gòu)安全工作的效率和有效性,同時(shí)消除安全專業(yè)人員、供應(yīng)商和機(jī)構(gòu)領(lǐng)導(dǎo)層的負(fù)擔(dān)。
采購(gòu)
為了幫助美國(guó)邦政府遷移到云端,各個(gè)機(jī)構(gòu)、跨機(jī)構(gòu)工作組和行業(yè)合作伙伴為聯(lián)邦信息技術(shù)和采購(gòu)專業(yè)人員提供了大量建議。但是在最佳實(shí)踐方面,仍缺乏整個(gè)政府機(jī)構(gòu)范圍內(nèi)的指南或跨機(jī)構(gòu)信息共享。這迫使機(jī)構(gòu)搜索多個(gè)來源,以便對(duì)商業(yè)市場(chǎng)中銷售的各種類型云服務(wù)、以及現(xiàn)有政府范圍內(nèi)的合同中所提供的不同產(chǎn)品,進(jìn)行基本的了解,還要評(píng)估哪種最適合于給定的要求。
由于私營(yíng)部門普遍使用云計(jì)算,機(jī)構(gòu)經(jīng)常通過合同購(gòu)買服務(wù),這些合同雖然不是專門為購(gòu)買服務(wù)或功能而設(shè)計(jì)的,但涉及將機(jī)構(gòu)信息放置到云中進(jìn)行處理或存儲(chǔ)。因此產(chǎn)生的潛在安全問題需要高度關(guān)注,以確保工作人員擁有必要的工具來降低安全風(fēng)險(xiǎn)和保護(hù)政府?dāng)?shù)據(jù)。
為了應(yīng)對(duì)這些挑戰(zhàn),各機(jī)構(gòu)需要采用各種方法,利用聯(lián)邦政府在批量采購(gòu)方面的優(yōu)勢(shì),還要共享良好收購(gòu)原則的知識(shí)。作為云敏捷多學(xué)科方法的一部分,還需要將安全考慮放在任何采購(gòu)工作的最首要位置。
分類管理
由于沒有任何美國(guó)政府范圍內(nèi)的指導(dǎo)或通用標(biāo)準(zhǔn),而且各機(jī)構(gòu)之間的協(xié)作有限,聯(lián)邦政府內(nèi)的上云計(jì)劃也出現(xiàn)了延遲。這也導(dǎo)致了采購(gòu)云服務(wù)的聯(lián)邦機(jī)構(gòu),出現(xiàn)代價(jià)高昂的冗余和效率低下的問題。
聯(lián)邦政府將采用類別管理來改善推動(dòng)云敏捷戰(zhàn)略的購(gòu)買行為,增加在聯(lián)邦市場(chǎng)中采用經(jīng)過驗(yàn)證的云服務(wù),并開發(fā)新服務(wù)以應(yīng)對(duì)新興需求。類別管理涉及一種結(jié)構(gòu)化方法,其重點(diǎn)是定義行為類似的產(chǎn)品和服務(wù)。它使聯(lián)邦政府能夠更明智、更像一家企業(yè)一樣進(jìn)行統(tǒng)一采購(gòu),提高效率和效力,并改善與私營(yíng)行業(yè)的關(guān)系。
服務(wù)水平協(xié)議
服務(wù)水平協(xié)議定義了期望從服務(wù)供應(yīng)商獲得的性能水平、對(duì)性能的衡量方式,以及將使用哪些強(qiáng)制機(jī)制來確保達(dá)到指定的級(jí)別。在政府采購(gòu)方面,對(duì)這些水平協(xié)議的需求,要通過合同條款和質(zhì)量保證條款來體現(xiàn)。在傳統(tǒng)的技術(shù)環(huán)境中,這些協(xié)議是與供應(yīng)商談判的關(guān)鍵要素。“服務(wù)水平協(xié)議”這個(gè)術(shù)語(yǔ)本身已經(jīng)因不同的情況被賦予了多重含義,并導(dǎo)致如何為機(jī)構(gòu)實(shí)現(xiàn)更好結(jié)果方面的不確定性的增加。為了確保跨執(zhí)行機(jī)構(gòu)更聰明地購(gòu)買和使用云,需要一種雙管齊下的方法。
首先,應(yīng)對(duì)合同條款和條件進(jìn)行審查和確認(rèn)。根據(jù)聯(lián)邦采購(gòu)條例(FAR),采購(gòu)商業(yè)物品的合同,必須只包括為執(zhí)行適用于所采購(gòu)商業(yè)物品的法律規(guī)定,或確定與慣例商業(yè)做法相一致的合同條款。因此,聯(lián)邦政府需要確保對(duì)商業(yè)慣例的任何補(bǔ)充,都集中在避免商業(yè)法規(guī)與聯(lián)邦法律之間不一致的目標(biāo)上。這必須在不給私營(yíng)行業(yè)造成過度負(fù)擔(dān)的情況下完成,也不能因?yàn)樯虡I(yè)慣例的改變而產(chǎn)生實(shí)際風(fēng)險(xiǎn)。
其次,總統(tǒng)“關(guān)于加強(qiáng)聯(lián)邦網(wǎng)絡(luò)和關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的行政命令”強(qiáng)調(diào),執(zhí)行部門和機(jī)構(gòu)的負(fù)責(zé)人有責(zé)任管理其業(yè)務(wù)的風(fēng)險(xiǎn),而且這種責(zé)任不能通過服務(wù)水平協(xié)議外包。許多建議指出了澄清角色和職責(zé)、建立明確的績(jī)效指標(biāo)以及實(shí)施非合規(guī)補(bǔ)救計(jì)劃的潛在好處。獲取云服務(wù)的一個(gè)重要元素是明確云供應(yīng)商能夠執(zhí)行什么服務(wù)以及在什么級(jí)別上執(zhí)行什么服務(wù)。這種治理、架構(gòu)和操作清晰度,將有助于機(jī)構(gòu)確保有效、高效和安全地執(zhí)行服務(wù)。
這種雙管齊下的方法將降低政府的成本和私營(yíng)行業(yè)的負(fù)擔(dān),縮短采購(gòu)周期,降低政府和合規(guī)商業(yè)供應(yīng)商的管理成本。這種方法將提高政府對(duì)云的標(biāo)準(zhǔn)化使用,并降低孤島式執(zhí)行機(jī)構(gòu)的相關(guān)風(fēng)險(xiǎn)。
合同的安全要求
各機(jī)構(gòu)有責(zé)任在制定云采購(gòu)和部署決策時(shí)考慮安全問題。為了開始這種方式上的轉(zhuǎn)變,聯(lián)邦首席信息官辦公室將發(fā)布以前的高價(jià)值資產(chǎn)(HVA)備忘錄的更新,該備忘錄建立在之前的計(jì)劃之上。具體而言,機(jī)構(gòu)需要確保高價(jià)值資產(chǎn)的合同(包含在云中管理和運(yùn)營(yíng)的資產(chǎn)),包括確保對(duì)資產(chǎn)安全的可見性的要求。此外, 機(jī)構(gòu)應(yīng)包括要求開發(fā)人員、制造商和供應(yīng)商使用系統(tǒng)安全和隱私工程概念的要求。這將在安全和隱私設(shè)計(jì)原則、安全編碼技術(shù)和可信計(jì)算方法方面,推動(dòng)有針對(duì)性的集成功能。
人員
聯(lián)邦信息技術(shù)人員負(fù)責(zé)執(zhí)行機(jī)構(gòu)任務(wù),向公眾提供服務(wù),以及保護(hù)美國(guó)國(guó)家的關(guān)鍵系統(tǒng)和信息。與機(jī)構(gòu)不能將風(fēng)險(xiǎn)外包的方式相同,他們也不能將關(guān)鍵決策外包給供應(yīng)商。相反,機(jī)構(gòu)應(yīng)該為自己的員工注入關(guān)鍵技能,以推動(dòng)云敏捷戰(zhàn)略的發(fā)展。改善聯(lián)邦政府的技術(shù)基礎(chǔ)設(shè)施,以提高機(jī)構(gòu)向納稅人提供服務(wù)的質(zhì)量、安全性和影響,而這需要聯(lián)邦工作人員的成熟度。
隨著機(jī)構(gòu)采用并遷移到云平臺(tái),必須要檢查這些遷移對(duì)聯(lián)邦工作人員的影響,并確定潛在的技能差距。各機(jī)構(gòu)必須預(yù)測(cè),需要哪些新技能和計(jì)劃方法,來解決差距和技能的演變。例如,遷移到云技術(shù)可能會(huì)減少對(duì)IT硬件管理的需求,但在使用代碼即基礎(chǔ)設(shè)施(Infrastructure as Code)時(shí),可能會(huì)增加對(duì)編程技能的要求。機(jī)構(gòu)可能還需要為其采購(gòu)人員配備額外的技能和知識(shí),以跟上不斷擴(kuò)大的采購(gòu)技術(shù)選項(xiàng)清單。機(jī)構(gòu)的云戰(zhàn)略和政策通常應(yīng)包括員工隊(duì)伍發(fā)展和規(guī)劃部分, 其中包括以下主題和活動(dòng)。
確定當(dāng)前和未來工作角色的技能差距
為了成功過渡到云平臺(tái),機(jī)構(gòu)需要確保他們的員工知識(shí)足以了解規(guī)劃遷移時(shí)的所有注意事項(xiàng),并在部署后支持云環(huán)境。機(jī)構(gòu)首席信息官和首席人力資本官(CHCO)應(yīng)合作開展符合任何法律法規(guī)的技能差距分析。技能差距分析至少應(yīng)包括對(duì)機(jī)構(gòu)當(dāng)前IT員工態(tài)勢(shì)的檢查,可映射到未來技能和職位要求的預(yù)測(cè)中。在適當(dāng)情況下,強(qiáng)烈鼓勵(lì)各機(jī)構(gòu)利用私營(yíng)行業(yè)預(yù)測(cè),來幫助預(yù)測(cè)未來的人員技能和職位要求,尤其是信息技術(shù)角色的需求。與許多新的技術(shù)舉措一樣,各機(jī)構(gòu)應(yīng)期望有一個(gè)激進(jìn)的時(shí)期, 對(duì)工作人員進(jìn)行使用云技術(shù)的培訓(xùn), 并計(jì)劃在這一迅速發(fā)展的領(lǐng)域進(jìn)行持續(xù)培訓(xùn)和實(shí)驗(yàn), 因?yàn)樵谶@一領(lǐng)域, 技能可能不到一年就會(huì)過時(shí)。
2015年的《聯(lián)邦網(wǎng)絡(luò)安全人員評(píng)估法案》要求聯(lián)邦機(jī)構(gòu)通過新的編碼框架,實(shí)施《國(guó)家網(wǎng)絡(luò)安全教育計(jì)劃(NICE)網(wǎng)絡(luò)安全人員框架》,并識(shí)別出執(zhí)行信息技術(shù)、網(wǎng)絡(luò)安全或其它網(wǎng)絡(luò)安全相關(guān)功能的所有聯(lián)邦民事職位。雖然所有機(jī)構(gòu)都必須參與這一過程,以幫助聯(lián)邦政府標(biāo)準(zhǔn)化評(píng)估網(wǎng)絡(luò)安全工作人員差距,但這項(xiàng)工作并不完全包括所有信息技術(shù)職位或技能組合。因此,鼓勵(lì)各機(jī)構(gòu)進(jìn)行單獨(dú)的業(yè)務(wù)范圍的IT技能差距分析,以確保包括所有當(dāng)前和未來的信息技術(shù)相關(guān)技能和職位。
再培訓(xùn)并保留現(xiàn)有的聯(lián)邦雇員
當(dāng)前員工可能缺乏促進(jìn)云遷移或遷移后維護(hù)環(huán)境所需的技能或知識(shí)。對(duì)于機(jī)構(gòu)而言,進(jìn)行技能差距分析,以確定技術(shù)和非技術(shù)技能以及職位差距就很重要。一旦該機(jī)構(gòu)發(fā)現(xiàn)了這些差距,領(lǐng)導(dǎo)層就需要確定哪些技能和職位差距,對(duì)于支持該機(jī)構(gòu)的使命最為重要和/或至關(guān)重要。
為了立即解決最關(guān)鍵的差距,該機(jī)構(gòu)需要為現(xiàn)有員工制定并實(shí)施再培訓(xùn)策略。機(jī)構(gòu)重新制定戰(zhàn)略應(yīng)側(cè)重于培訓(xùn)和職業(yè)發(fā)展機(jī)會(huì),使現(xiàn)有員工能夠獲得急需的技能和認(rèn)證。
再培訓(xùn)計(jì)劃還應(yīng)包括高級(jí)行政服務(wù)類的員工,以便為他們提供云計(jì)算的基本知識(shí)。此外, 對(duì)于采購(gòu)專業(yè)人員來說, 云計(jì)算服務(wù)的采購(gòu)仍然是相對(duì)較新的領(lǐng)域。因此,首席采購(gòu)官、合同官和項(xiàng)目經(jīng)理等采購(gòu)專業(yè)人員,需要利用當(dāng)前的采購(gòu)資源和指導(dǎo)。這些資源應(yīng)包括聯(lián)邦采購(gòu)政策辦公室提供的資源和培訓(xùn)機(jī)會(huì),例如通過聯(lián)邦采購(gòu)協(xié)會(huì)和TechFAR HUB 提供的培訓(xùn)機(jī)會(huì)。
此外, 根據(jù)對(duì)專業(yè)IT采購(gòu)角色的指導(dǎo), 各機(jī)構(gòu)可能會(huì)受益于審核其當(dāng)前的IT采購(gòu)員工隊(duì)伍和計(jì)劃需求,以確定開發(fā)新的專業(yè)團(tuán)隊(duì)或擴(kuò)大現(xiàn)有IT采購(gòu)團(tuán)隊(duì),是否會(huì)降低云遷移風(fēng)險(xiǎn)并改善總體結(jié)果。一個(gè)可能的培訓(xùn)發(fā)展模式,是管理和預(yù)算辦公室的數(shù)字信息技術(shù)采購(gòu)專業(yè)人員(DITAP)計(jì)劃。
最后,各機(jī)構(gòu)應(yīng)與其首席人力資本官和首席學(xué)習(xí)官協(xié)商,以確定培訓(xùn)和重新部署選項(xiàng)的最佳方法,如認(rèn)證計(jì)劃、創(chuàng)造績(jī)效晉升工作機(jī)會(huì)或輪崗計(jì)劃。
招聘和雇傭以解決技能差距
美國(guó)勞工統(tǒng)計(jì)局報(bào)告稱,云計(jì)算是技術(shù)占用增長(zhǎng)的一個(gè)主要因素,預(yù)計(jì)從2016年到2026年將增長(zhǎng)13%。除了為了解決最關(guān)鍵的技能和職位差距而再培訓(xùn)現(xiàn)有員工的機(jī)構(gòu)外,應(yīng)考慮招聘和雇傭策略。主要戰(zhàn)略包括利用行業(yè)招聘最佳實(shí)踐,擴(kuò)大薪酬的靈活性,以及迅速消除阻礙招聘員工的官僚障礙。各機(jī)構(gòu)必須建立一條管道,不斷向聯(lián)邦政府輸送網(wǎng)絡(luò)和安全人才。
擁有云計(jì)算技能的技術(shù)專業(yè)人員市場(chǎng),競(jìng)爭(zhēng)十分激烈。在可能的情況下,各機(jī)構(gòu)應(yīng)利用私營(yíng)部門使用的技術(shù),吸引和雇用聯(lián)邦政府的最佳候選人。各機(jī)構(gòu)應(yīng)與其首席人力資本官協(xié)調(diào),執(zhí)行積極的征聘戰(zhàn)略,例如:參加行業(yè)會(huì)議和招聘會(huì);舉辦全國(guó)性的招聘活動(dòng),以加強(qiáng)認(rèn)知和推廣;開發(fā)“最需要”的人才廣告,以展示關(guān)鍵需求;確保在像USAJOBS這樣地方所發(fā)布的職位,能夠恰當(dāng)?shù)胤从乘璧募寄?;通過社交媒體平臺(tái)吸引候選人;分析和分享當(dāng)前的員工經(jīng)驗(yàn);在適當(dāng)情況下利用擇優(yōu)晉升招聘程序,留住、晉升或重新部署現(xiàn)任聯(lián)邦雇員;以及展示多元化和包容性舉措。
美國(guó)政府在努力為聯(lián)邦員工團(tuán)隊(duì)招募現(xiàn)有人才的同時(shí),還應(yīng)該建立一個(gè)人才管道,擴(kuò)大合格申請(qǐng)人的范圍。通過勞動(dòng)力理事會(huì)和首席信息官理事會(huì)(CIOC)的舉措,除了利用已有的伙伴關(guān)系外,美國(guó)政府還將繼續(xù)與社區(qū)學(xué)院、學(xué)徒計(jì)劃和四年制機(jī)構(gòu)建立伙伴關(guān)系。機(jī)構(gòu)過渡戰(zhàn)略應(yīng)擴(kuò)大包括對(duì)再培訓(xùn)和提高技能解決方案的考量。
員工溝通、參與和過渡策略
在遷移到云之前,機(jī)構(gòu)應(yīng)執(zhí)行溝通計(jì)劃,以幫助員工了解實(shí)施云敏捷戰(zhàn)略所需要的改變。例如,遷移到云環(huán)境中,可能需要淘汰已使用多年的老舊系統(tǒng)。員工可能會(huì)感到不情愿,特別是如果要重新定義職位,以及學(xué)習(xí)在云環(huán)境中操作新系統(tǒng)。機(jī)構(gòu)可以通過清楚地說明一旦上云完成,當(dāng)前的員工將如何適應(yīng),從而減輕員工的擔(dān)憂。將技術(shù)路線圖社交化, 包括將全部或部分遷移到云的系統(tǒng), 并提供包括再培訓(xùn)機(jī)會(huì)的變更管理流程大綱,是極其必要的。與員工進(jìn)行溝通和互動(dòng),是成功采用新的云解決方案的關(guān)鍵。聯(lián)邦各機(jī)構(gòu)應(yīng)該樂于利用參與云遷移活動(dòng)的供應(yīng)商,為當(dāng)前員工提供或支持培訓(xùn)。
消除官僚主義障礙,迅速招聘人才
對(duì)具有云計(jì)算技能的技術(shù)專業(yè)人員的需求處于歷史最高水平。這意味著吸引、招募和留住合適的人才,將采用可執(zhí)行的人力資本戰(zhàn)略并簡(jiǎn)化招聘流程。擁有積極的招聘時(shí)間表和有競(jìng)爭(zhēng)力報(bào)價(jià)的機(jī)構(gòu),將利用薪酬和招聘激勵(lì)措施來吸引人才。機(jī)構(gòu)領(lǐng)導(dǎo)層必須確定并迅速解決阻礙機(jī)構(gòu)快速聘用人才的官僚障礙。
根據(jù)《美國(guó)法典》(United States Code)第5章,聯(lián)邦政府各機(jī)構(gòu)擁有廣泛的權(quán)力,負(fù)責(zé)聘用頂尖的IT和網(wǎng)絡(luò)安全人才,并為具備優(yōu)越資質(zhì)或解決關(guān)鍵技能差距的候選人提供薪酬靈活性和激勵(lì)措施。強(qiáng)烈鼓勵(lì)各機(jī)構(gòu)利用現(xiàn)有的招聘機(jī)構(gòu)、招聘和助學(xué)貸款還款激勵(lì)機(jī)制,聘用具有高度受歡迎的云計(jì)算技能的專業(yè)人士。
聯(lián)邦機(jī)構(gòu)有責(zé)任,確保其當(dāng)前和未來的員工已經(jīng)準(zhǔn)備好,支持聯(lián)邦云環(huán)境。聯(lián)邦機(jī)構(gòu)云戰(zhàn)略應(yīng)能使領(lǐng)導(dǎo)人發(fā)展信息技術(shù)和網(wǎng)絡(luò)安全工作人員, 并使其具備實(shí)現(xiàn)云遷移目標(biāo)所需的技能, 以及支持改善關(guān)鍵公民服務(wù)的最新技術(shù)。