从“云优先”转向“云智能” ：美政府发布《云智能战略》草案

美政府管理与预算办公室（OMB）9月24日发布《云智能战略》（Cloud Smart）草案，旨在更新奥巴马政府于2010年制定的“云优先”政策，为各机构提供方法以迁移到安全可靠的云网络。美联邦各机构将在未来18个月内采取行动贯彻这一战略。

“云智能”是一种新型战略，旨在使各机构采用简化转换程序、包含现代功能的云解决方案，为各机构提供所需工具，方便各机构根据其职能需求作出信息技术决策，并充分利用商业解决方案提供最佳服务。“云智能”战略提供了一种综合、跨学科的方法，试图将安全性、采办和劳动力三个领域结合起来，形成一个统一战略。

一是安全。①可信互联网连接（TIC）。基于TIC，减少外部连接的数量，统一联邦机构所使用的外部网络连接的安全标准。②持续的数据保护及意识。各机构都应为与其身份和证书管理系统相一致的云托管数据确定管理模型。此外，如果供应商部署云解决方案，则应该确定一个服务水平协议（SLA），为机构提供对其数据的机密性、安全性和可用性的持续了解。③联邦风险与授权管理项目（FedRAMP）。FedRAMP是一个政府范围内的项目，已被证实在为大型云服务提供商提供安全评估、授权和持续监控的标准化方法上具有重要意义。利用FedRAMP项目中的网络安全专业知识将使联邦政府能够继续提高采用云系统的机构安全实践的效率和有效性，同时消除安全专业人员、供应商和机构领导的负担。

二是采办。①类别管理。联邦政府将采用类别管理来改进支持“云智能”战略的采办模式，增加在联邦市场中使用经验证的云载体，并开发新载体以满足新兴需求。②服务水平协议。为确保更智能的云采办和行政机构间的使用，需采取双轨方法，首先对合同条款和条件进行审查和确定，其次，根据总统《关于加强联邦网络和关键基础设施网络安全》的行政命令，各行政部门和机构负责人负责管理其企业的风险，责任不能通过服务水平协议外包。③合同的安全要求。各机构需要为高价值资产合同提供保障，并考虑开发人员、制造商和供应商采用系统安全和隐私工程概念的要求，推动安全与隐私设计原则、安全编码技术和可信计算方法的目标集成。

三是劳动力。①确定当前和未来工作职责的技能差距。机构首席信息官和首席人力资源官应合作进行符合任何法规或规定的技能差距分析，并在适当情况下利用行业预测来帮助预测未来的劳动力技能和职位需求。②保留并重新培训现有的联邦雇员。各机构需要为现有雇员制定并实施再培训战略，侧重于培训和专业发展机会，使现有雇员能够获得急需的技能和证书。③征募人才以弥补技能缺口。包括利用行业招聘最佳实践、增加薪酬灵活性，以及迅速消除员工招聘的官僚障碍。各机构必须建立人才管道，不断向联邦政府输送网络安全人才。④员工沟通、参与和过渡策略。在迁移到云之前，各机构应执行通信计划，帮助员工了解实现“云智能”战略所需作出的转变。⑤迅速消除人才招聘的官僚障碍。采用精简的招聘流程和可执行的人力资本策略，各机构领导必须查明并迅速消除妨碍机构迅速雇用人才的官僚障碍。