2010年，美國聯(lián)邦政府制定了第一個名為“云優(yōu)先（Cloud First）”的云戰(zhàn)略。這一政策是在云技術相對較初期的時候制定的，它為各美國聯(lián)邦政府機構(gòu)提供了廣泛的采用基于云解決方案的權利。但是，由于沒有執(zhí)行計劃或策略，各機構(gòu)上云的速度很慢。雖然Cloud First成功地強調(diào)了IT現(xiàn)代化工作的重要性，但其缺點需要得到校正。這也是2018年10月新一屆美國政府重新????定了云敏捷（Cloud Smart）戰(zhàn)略的原因，“云敏捷”是一種新的戰(zhàn)略，該戰(zhàn)略讓各機構(gòu)采用可以簡化轉(zhuǎn)型并擁抱具有現(xiàn)代化能力的云解決方案。云敏捷專注于為聯(lián)邦政府機構(gòu)提供必要的工具，使其能夠根據(jù)其使命需求做出信息技術決策，并利用私營部門的解決方案為美國人民提供最佳服務。

以下翻譯自美國聯(lián)邦政府首席信息官辦公室的2018更新版“聯(lián)邦政府云戰(zhàn)略”：

云敏捷（Cloud Smart）包含IT現(xiàn)代化的幾個關鍵組成部分，包括安全性、采購和人員。從歷史上看，隔離了這些領域的策略，造成了對需求、任務和需求的混淆和誤解。但是，它們之間存在深刻的聯(lián)系，并且需要一個綜合的、跨學科的方法，而不是采用一刀切方式對待IT現(xiàn)代化。云敏捷將這些學科結(jié)合在一起，形成一個緊密結(jié)合的戰(zhàn)略，以交付節(jié)約、安全和更快的關鍵任務服務解決方案。

聯(lián)邦政府各機構(gòu)（以下簡稱：機構(gòu)或行政機構(gòu)）需要與同行分享變革經(jīng)驗，以便聯(lián)邦政府能夠利用集體獲取的知識。評估、使用和共享知識的能力，是私營部門IT現(xiàn)代化成功的驅(qū)動力——美國聯(lián)邦政府的方法應該沒有什么不同。通過立即投資這些能力，各機構(gòu)將確保以最佳、最明智的方式為使命服務，并管理納稅人的資金。

關鍵行動

美國聯(lián)邦政府首席信息官理事會和首席財務官理事會將與行政管理和預算辦公室、總務管理局、國土安全部和其他聯(lián)邦機構(gòu)合作制定推進到云敏捷的議程，并在接下來的18個月中制定行動計劃，交付有針對性的政策更新。該計劃將保持技術中立，并將酌情考慮基于外部供應商的解決方案、自有托管解決方案、機構(gòu)之間內(nèi)部共享服務、多云和混合解決方案。為了讓???????些行政機構(gòu)在21世紀保持高效，這些云敏捷行動將需要隨著時間的推移不斷進行評估和改進，以跟上不斷變化的市場和新興技術。

I. 云概覽

（重新）定義云計算

聯(lián)邦政府內(nèi)部的“云”一詞，通常用于指外部供應商提供的任何技術解決方案。在實際工作中，“云計算”是指允許從共享資源池快速供應系統(tǒng)或服務的各種技術，包括從私營公司提供的托管電子郵件解決方案，到在聯(lián)邦政府所有的數(shù)據(jù)中心服務器上運行的可擴展應用程序容器。云遷移策略不應被視為誰擁有計算資源、數(shù)據(jù)和設施的問題，而應該被視作是這個解決方案能否改進向公民提供的服務的問題。評估服務的特定功能（例如自動可伸縮性）在評估解決方案時非常有用，而不僅僅是考慮應用程序是否為“云”。

以前關于云技術話題的大部分指導，都在關注其潛在的好處而不是實現(xiàn)結(jié)果。例如，將應用程序從傳統(tǒng)數(shù)據(jù)中心移動到虛擬化基礎架構(gòu)供應商，通常并不能實現(xiàn)自動應用程序可伸縮性以適應增長的用戶需求。為了實現(xiàn)這一目標，通常需要重構(gòu)應用程序以利用自動配置和自動擴展等新功能，這必須考慮到項目的分析和規(guī)劃中。

傳統(tǒng)的云部署模型反映了在系統(tǒng)層增加供應商主導權的進程，從供應商僅提供基礎架構(gòu)和硬件的基礎架構(gòu)即服務（IaaS）到由供應商提供托管和基礎架構(gòu)管理的平臺即服務（PaaS），再到行政機構(gòu)只需提供數(shù)據(jù)，而大多數(shù)其它能力和功能則由供應商提供的軟件即服務（SaaS）來完成。云服務行業(yè)自那以后在不同的層次上轉(zhuǎn)向了更加精細的能力劃分。開源和專有產(chǎn)品的快速發(fā)展，使得在任何云服務層面，都能實現(xiàn)任何形式的供應商和政府主導權/所有權組合?，F(xiàn)在，大多數(shù)主要供應商都會根據(jù)最終用戶的需求提供各種可用的上云路徑和服務。在技術創(chuàng)新方面處于領先地位的行業(yè)也證明，混合云和多云環(huán)境是有效且高效的。

私營企業(yè)現(xiàn)在提供如此廣泛的可能解決方案，各行政機構(gòu)必須具備適當?shù)臈l件，根據(jù)它們的服務和使命需要評估所能作出的選擇。各機構(gòu)應考慮最終用戶對成本和風險管理標準的影響，對計算能力和技術制定決策。

現(xiàn)代化與成熟度

云技術的采用，要求各行政機構(gòu)優(yōu)先考慮遷移規(guī)劃、維護和組織成熟度，以實現(xiàn)這些服務的全部優(yōu)勢。失敗的一種方式是，當組織購買解決方案時，沒有正確識別需求和預期的結(jié)果。這可能導致項目無法啟動，云服務在峰值需求時出現(xiàn)問題，或者僅僅是機構(gòu)范圍內(nèi)的冗余采購。

隨著技術的變化，機構(gòu)信息技術戰(zhàn)略也需要成熟?，F(xiàn)代化是一項持續(xù)的承諾，不是每十年一次的單一干預措施。相反，現(xiàn)代化是一種不斷變化的狀態(tài)，也是每個機構(gòu)日常技術業(yè)務的一部分。為此，需要反復改進政策、指導和要求，以適應不斷變化的需求，引導成熟的工作實踐并推動積極成果。

為了加速上云和用云，應該期望機構(gòu)定期評估其在整個行政機構(gòu)中的成熟度。安全、采購和人員是需要認真考慮和投資、以確保成功用云的三個關鍵領域。機構(gòu)人員還應根據(jù)所選擇的解決方案，評估公民對效率、可訪問性和隱私的需求。

例如，為了利用云的分布式特性，將安全控制從網(wǎng)絡邊界移動到更接近數(shù)據(jù)本身的位置可以改善整體的安全狀況。為了實現(xiàn)云基礎架構(gòu)的可擴展性、穩(wěn)定性、安全性和快速上線的優(yōu)勢，機構(gòu)人員需要利用現(xiàn)代敏捷開發(fā)技能。機構(gòu)還需要采用多學科實踐，推動更高級別的自動化和邏輯控制的使用。為了更好地最大化投資回報，機構(gòu)人員應該能夠比較各種可能的服務組合，并使用最佳的合同來采購它們。

各機構(gòu)應審查其信息技術組合，以確定現(xiàn)有工具的現(xiàn)代化計劃。鼓勵他們執(zhí)行并利用完整的系統(tǒng)和應用程序合理化，鼓勵那些尚未開始此過程的人，立即開始。作為此項工作的一部分，機構(gòu)應考慮是否可以利用虛擬化、容器化和其它現(xiàn)代實踐，來提高行政機構(gòu)擁有的數(shù)據(jù)中心和供應商服務的效率。根據(jù)聯(lián)邦信息技術采購改革法案（FITARA），該流程應由機構(gòu)層面的首席信息官（CIO）監(jiān)督，以幫助確定整個機構(gòu)改進的潛在機會。

II.安全

在向美國總統(tǒng)提交的《2017年聯(lián)邦信息技術現(xiàn)代化報告》中，概述了聯(lián)邦信息技術的未來，認為各政府機構(gòu)將進一步采取一種基于風險的方法來確保其系統(tǒng)安全，這種方法將適當強調(diào)數(shù)據(jù)級保護，并充分利用現(xiàn)代虛擬化技術。這個重新聚焦的焦點，必須由機構(gòu)領導、任務所有者、IT人員和治理機構(gòu)推動。

聯(lián)邦政府的網(wǎng)絡安全政策和能力的演變對IT現(xiàn)代化至關重要。為了實施基于風險的上云方法，機構(gòu)人員應該轉(zhuǎn)向數(shù)據(jù)層的安全和保護，而不是網(wǎng)絡和物理基礎設施層，改進系統(tǒng)治理也是如此。此外，至關重要的是，機構(gòu)必須全面可見其內(nèi)部和云中數(shù)據(jù)，以便執(zhí)行持續(xù)監(jiān)視以檢測惡意活動。隨著機構(gòu)人員開展現(xiàn)代化的工作，他們應首先將這些能力應用于高風險、高???????值的資產(chǎn)，以便充分利用云提供的所有功能。

以下計劃是當前安全戰(zhàn)略的重要組成部分，必須隨著技術格局的變化而發(fā)展。但是，通過此次更新，機構(gòu)需要從安全整體性的角度，考慮預期的結(jié)果和能力，而不僅僅是計劃。

可信互聯(lián)網(wǎng)連接

2007年發(fā)布的M-08-05 實施可信互聯(lián)網(wǎng)連接 (TIC)，旨在標準化聯(lián)邦機構(gòu)使用的外部網(wǎng)絡連接的安全性，同時減少外部網(wǎng)絡連接的數(shù)量?？尚呕ヂ?lián)網(wǎng)連接策略是在各機構(gòu)的大部分系統(tǒng)維護都運行在機構(gòu)自有和運營的網(wǎng)絡中，以及網(wǎng)絡受到物理限制時，所制定的策略。從那時起，隨著私有云服務的普及、軟件定義網(wǎng)絡的出現(xiàn)和在移動端工作人員的增加，技術領域發(fā)生了巨大的變化。安全性的改進，現(xiàn)在由標準和安全連接驅(qū)動，而不是由有限的物理連接驅(qū)動。

在目前的情況下，要求所有機構(gòu)的網(wǎng)絡流量都通過有限數(shù)量的可信互聯(lián)網(wǎng)連接，這種一刀切的策略已不再可行。這種設計選擇，阻礙了行政機構(gòu)獲取新技術的能力，包括商業(yè)云解決方案，這些解決方案使用分布式網(wǎng)絡模型并使用虛擬而非物理的數(shù)據(jù)控制。此外，傳統(tǒng)的基礎設施設計，降低了機構(gòu)利用新技術的能力，例如創(chuàng)建不受傳統(tǒng)防火墻約束的零信任網(wǎng)絡。

由于這些限制因素，各個機構(gòu)與美國國土安全部合作制定了針對具體機構(gòu)的解決方案，以緩解相關工作效力下降問題。這項工作的結(jié)果，將以某種方式共享, 以強化受信任互聯(lián)網(wǎng)連接的替代方式，包括更新可信網(wǎng)絡連接參考體系架構(gòu)，以證明某項目的目標可以不需要路由所有流量經(jīng)過有限的物理訪問點。在不需要通過可信網(wǎng)絡連接路由流量的用例中，機構(gòu)必須實???????DHS指定的控制，以確保聯(lián)邦機構(gòu)的安全性具有合理的基準級別。鑒于聯(lián)邦機構(gòu)中存在的各種平臺和部署，可信網(wǎng)絡連接參考體系結(jié)構(gòu)還將證明，不需通過受信網(wǎng)絡路由流量就可以滿足政府級入侵檢測和預防工作要求的用例到底有何不同，例如EINSTEIN計劃。

持續(xù)的數(shù)據(jù)保護和意識

遷移到基于云的環(huán)境會改變行政機構(gòu)可能已經(jīng)支持的網(wǎng)絡可見性和數(shù)據(jù)保護形態(tài)。隨著數(shù)據(jù)轉(zhuǎn)換到各種網(wǎng)絡并停留在各種位置，例如終端用戶的設備、身份和憑證，訪問管理（ICAM）和加密變得越來越重要。

聯(lián)邦政府的行政機構(gòu)是代表公眾的數(shù)據(jù)保管人。因此，每個機構(gòu)應確定自己的云托管數(shù)據(jù)治理模型，與其身份和安全憑證管理系統(tǒng)保持一致。此外，在供應商已經(jīng)部署了云解決方案的情況下，應建立服務級別協(xié)議（SLA），以便機構(gòu)持續(xù)了解其數(shù)據(jù)的機密性、安全性和可用性。

此外，行政機構(gòu)應該了解這些數(shù)據(jù)是否存在于第三方信息系統(tǒng)中，并提供訪問日志數(shù)據(jù)的權限，如果發(fā)生網(wǎng)絡事件或其它不利事件，第三方應及時通知機構(gòu)。各機構(gòu)應考慮與所有提供者（無論是聯(lián)邦政府還是商業(yè)供應商），就訪問和使用日志數(shù)據(jù)進行信息安全操作達成協(xié)議。

行政機構(gòu)及其合作伙伴應定期進行對等信息共享，以打擊惡意網(wǎng)絡行為。網(wǎng)絡安全需要公私合作，隨著越來越多的聯(lián)邦實體采用商業(yè)云解決方案，客戶和供應商應該攜手保護信息。此外，DHS的持續(xù)診斷和緩解（CDM）計劃必須繼續(xù)發(fā)展，以使各機構(gòu)具備必要的監(jiān)測工具和能力，以了解其在云中的網(wǎng)絡風險。

聯(lián)邦風險和授權管理計劃

聯(lián)邦風險和授權管理計劃（FedRAMP）是一項政府范圍的計劃，它證明了對大型云服務供應商進行安全評估、授權和持續(xù)監(jiān)控的標準化方法的價值。云服務供應商已經(jīng)展示了通過標準化基準和通用標準以滿足聯(lián)邦安全要求的能力。隨著供應商市場的不斷增長，行政機構(gòu)已經(jīng)能夠快速脫離舊的、不安全的遺留技術，轉(zhuǎn)而適應面向任務的、安全且具有成本效益的云系統(tǒng)????

雖然通過聯(lián)合授權委員會，F(xiàn)edRAMP項目管理辦公室已經(jīng)能夠大幅縮短授權云服務供應商的時間，但是仍然有工作可以做，以加快授權新供應商的速度。此外，大量的機構(gòu)特定的流程，使得機構(gòu)的解決方案授權運營流程（ATO）變得復雜，即使是使用已授權的云服務時也是如此。事實上，盡管網(wǎng)絡安全風險管理十分重要，但各機構(gòu)都指出，主要的障礙在于現(xiàn)有的政策????工作方式，把ATO流程從風險承擔轉(zhuǎn)變?yōu)閯趧用芗凸ぷ?。加速共同ATO協(xié)議和整體流程改進的戰(zhàn)略正在制定中，并將在未來的指南中加以解決。

在FedRAMP項目中利用網(wǎng)絡安全專業(yè)知識，將讓聯(lián)邦政府在采用云系統(tǒng)時繼續(xù)提高機構(gòu)安全工作的效率和有效性，同時消除安全專業(yè)人員、供應商和機構(gòu)領導層的負擔。

III．采購

為了幫助美國邦政府遷移到云端，各個機構(gòu)、跨機構(gòu)工作組和行業(yè)合作伙伴為聯(lián)邦信息技術和采購專業(yè)人員提供了大量建議。但是在最佳實踐方面，仍缺乏整個政府機構(gòu)范圍內(nèi)的指南或跨機構(gòu)信息共享。這迫使機構(gòu)搜索多個來源，以便對商業(yè)市場中銷售的各種類型云服務、以及現(xiàn)有政府范圍內(nèi)的合同中所提供的不同產(chǎn)品，進行基本的了解，還要評估哪種最適合于給定的要求。

由于私營部門普遍使用云計算，機構(gòu)經(jīng)常通過合同購買服務，這些合同雖然不是專門為購買服務或功能而設計的，但涉及將機構(gòu)信息放置到云中進行處理或存儲。因此產(chǎn)生的潛在安全問題需要高度關注，以確保工作人員擁有必要的工具來降低安全風險和保護政府數(shù)據(jù)。

為了應對這些挑戰(zhàn)，各機構(gòu)需要采用各種方法，利用聯(lián)邦政府在批量采購方面的優(yōu)勢，還要共享良好收購原則的知識。作為云敏捷多學科方法的一部分，還需要將安全考慮放在任何采購工作的最首要位置。

分類管理

由于沒有任何美國政府范圍內(nèi)的指導或通用標準，而且各機構(gòu)之間的協(xié)作有限，聯(lián)邦政府內(nèi)的上云計劃也出現(xiàn)了延遲。這也導致了采購云服務的聯(lián)邦機構(gòu)，出現(xiàn)代價高昂的冗余和效率低下的問題。

聯(lián)邦政府將采用類別管理來改善推動云敏捷戰(zhàn)略的購買行為，增加在聯(lián)邦市場中采用經(jīng)過驗證的云服務，并開發(fā)新服務以應對新興需求。類別管理涉及一種結(jié)構(gòu)化方法，其重點是定義行為類似的產(chǎn)品和服務。它使聯(lián)邦政府能夠更明智、更像一家企業(yè)一樣進行統(tǒng)一采購，提高效率和效力，并改善與私營行業(yè)的關系。

服務水平協(xié)議

服務水平協(xié)議定義了期望從服務供應商獲得的性能水平、對性能的衡量方式，以及將使用哪些強制機制來確保達到指定的級別。在政府采購方面，對這些水平協(xié)議的需求，要通過合同條款和質(zhì)量保證條款來體現(xiàn)。在傳統(tǒng)的技術環(huán)境中，這些協(xié)議是與供應商談判的關鍵要素。“服務水平協(xié)議”這個術語本身已經(jīng)因不同的情況被賦予了多重含義，并導致如何為機構(gòu)實現(xiàn)更好結(jié)果方面的不確定性的增加。為了確?？鐖?zhí)行機構(gòu)更聰明地購買和使用云，需要一種雙管齊下的方法。

首先，應對合同條款和條件進行審查和確認。根據(jù)聯(lián)邦采購條例（FAR），采購商業(yè)物品的合同，必須只包括為執(zhí)行適用于所采購商業(yè)物品的法律規(guī)定，或確定與慣例商業(yè)做法相一致的合同條款。因此，聯(lián)邦政府需要確保對商業(yè)慣例的任何補充，都集中在避免商業(yè)法規(guī)與聯(lián)邦法律之間不一致的目標上。這必須在不給私營行業(yè)造成過度負擔的情況下完成，也不能因為商業(yè)慣例的改變而產(chǎn)生實際風險。

其次，總統(tǒng)“關于加強聯(lián)邦網(wǎng)絡和關鍵基礎設施網(wǎng)絡安全的行政命令”強調(diào)，執(zhí)行部門和機構(gòu)的負責人有責任管理其業(yè)務的風險，而且這種責任不能通過服務水平協(xié)議外包。許多建議指出了澄清角色和職責、建立明確的績效指標以及實施非合規(guī)補救計劃的潛在好處。獲取云服務的一個重要元素是明確云供應商能夠執(zhí)行什么服務以及在什么級別上執(zhí)行什么服務。這種治理、架構(gòu)和操作清晰度，將有助于機構(gòu)確保有效、高效和安全地執(zhí)行服務。

這種雙管齊下的方法將降低政府的成本和私營行業(yè)的負擔，縮短采購周期，降低政府和合規(guī)商業(yè)供應商的管理成本。這種方法將提高政府對云的標準化使用，并降低孤島式執(zhí)行機構(gòu)的相關風險。

合同的安全要求

各機構(gòu)有責任在制定云采購和部署決策時考慮安全問題。為了開始這種方式上的轉(zhuǎn)變，聯(lián)邦首席信息官辦公室將發(fā)布以前的高價值資產(chǎn)（HVA）備忘錄的更新，該備忘錄建立在之前的計劃之上。具體而言，機構(gòu)需要確保高價值資產(chǎn)的合同（包含在云中管理和運營的資產(chǎn)），包括確保對資產(chǎn)安全的可見性的要求。此外, 機構(gòu)應包括要求開發(fā)人員、制造商和供應商使用???????統(tǒng)安全和隱私工程概念的要求。這將在安全和隱私設計原則、安全編碼技術和可信計算方法方面，推動有針對性的集成功能。

IV．人員

聯(lián)邦信息技術人員負責執(zhí)行機構(gòu)任務，向公眾提供服務，以及保護美國國家的關鍵系統(tǒng)和信息。與機構(gòu)不能將風險外包的方式相同，他們也不能將關鍵決策外包給供應商。相反，機構(gòu)應該為自己的員工注入關鍵技能，以推動云敏捷戰(zhàn)略的發(fā)展。改善聯(lián)邦政府的技術基礎設施，以提高機構(gòu)向納稅人提供服務的質(zhì)量、安全性和影響，而這需要聯(lián)邦工作人員的成熟度。

隨著機構(gòu)采用并遷移到云平臺，必須要檢查這些遷移對聯(lián)邦工作人員的影響，并確定潛在的技能差距。各機構(gòu)必須預測，需要哪些新技能和計劃方法，來解決差距和技能的演變。例如，遷移到云技術可能會減少對IT硬件管理的需求，但在使用代碼即基礎設施（Infrastructure as Code）時，可能會增加對編程技能的要求。機構(gòu)可能還需要為其采購人員配備額外的技能和知識，以跟上不斷擴大的采購技術選項清單。機構(gòu)的云戰(zhàn)略和政策通常應包括員工隊伍發(fā)展和規(guī)劃部分, 其中包括以下主題和活動。

確定當前和未來工作角色的技能差距

為了成功過渡到云平臺，機構(gòu)需要確保他們的員工知識足以了解規(guī)劃遷移時的所有注意事項，并在部署后支持云環(huán)境。機構(gòu)首席信息官和首席人力資本官（CHCO）應合作開展符合任何法律法規(guī)的技能差距分析。技能差距分析至少應包括對機構(gòu)當前IT員工態(tài)勢的檢查，可映射到未來技能和職位要求的預測中。在適當情況下，強烈鼓勵各機構(gòu)利用私營行業(yè)預測，來幫助預測未來的人員技能和職位要求，尤其是信息技術角色的需求。與許多新的技術舉措一樣, 各機構(gòu)應期望有一個激進的時期, 對工作人員進行使用云技術的培訓, 并計劃在這一迅速發(fā)展的領域進行持續(xù)培訓和實驗, 因為在這一領域, 技能可能不到一年就會過時。

2015年的《聯(lián)邦網(wǎng)絡安全人員評估法案》要求聯(lián)邦機構(gòu)通過新的編碼框架，實施《國家網(wǎng)絡安全教育計劃（NICE）網(wǎng)絡安全人員框架》，并識別出執(zhí)行信息技術、網(wǎng)絡安全或其它網(wǎng)絡安全相關功能的所有聯(lián)邦民事職位。雖然所有機構(gòu)都必須參與這一過程，以幫助聯(lián)邦政府標準化評估網(wǎng)絡安全工作人員差距，但這項工作并不完全包括所有信息技術職位或技能組合。因???????，鼓勵各機構(gòu)進行單獨的業(yè)務范圍的IT技能差距分析，以確保包括所有當前和未來的信息技術相關技能和職位。

再培訓并保留現(xiàn)有的聯(lián)邦雇員

當前員工可能缺乏促進云遷移或遷移后維護環(huán)境所需的技能或知識。對于機構(gòu)而言，進行技能差距分析，以確定技術和非技術技能以及職位差距就很重要。一旦該機構(gòu)發(fā)現(xiàn)了這些差距，領導層就需要確定哪些技能和職位差距，對于支持該機構(gòu)的使命最為重要和/或至關重要。

為了立即解決最關鍵的差距，該機構(gòu)需要為現(xiàn)有員工制定并實施再培訓策略。機構(gòu)重新制定戰(zhàn)略應側(cè)重于培訓和職業(yè)發(fā)展機會，使現(xiàn)有員工能夠獲得急需的技能和認證。

再培訓計劃還應包括高級行政服務類的員工，以便為他們提供云計算的基本知識。此外, 對于采購專業(yè)人員來說, 云計算服務的采購仍然是相對較新的領域。因此，首席采購官、合同官和項目經(jīng)理等采購專業(yè)人員，需要利用當前的采購資源和指導。這些資源應包括聯(lián)邦采購政策辦公室提供的資源和培訓機會，例如通過聯(lián)邦采購協(xié)會和TechFAR HUB 提供的培訓機會。

此外, 根據(jù)對專業(yè)IT采購角色的指導, 各機構(gòu)可能會受益于審核其當前的IT采購員工隊伍和計劃需求，以確定開發(fā)新的專業(yè)團隊或擴大現(xiàn)有IT采購團隊，是否會降低云遷移風險并改善總體結(jié)果。一個可能的培訓發(fā)展模式，是管理和預算辦公室的數(shù)字信息技術采購專業(yè)人員（DITAP）計劃。

最后，各機構(gòu)應與其首席人力資本官和首席學習官協(xié)商，以確定培訓和重新部署選項的最佳方法，如認證計劃、創(chuàng)造績效晉升工作機會或輪崗計劃。

招聘和雇傭以解決技能差距

美國勞工統(tǒng)計局報告稱，云計算是技術占用增長的一個主要因素，預計從2016年到2026年將增長13％。除了為了解決最關鍵的技能和職位差距而再培訓現(xiàn)有員工的機構(gòu)外，應考慮招聘和雇傭策略。主要戰(zhàn)略包括利用行業(yè)招聘最佳實踐，擴大薪酬的靈活性，以及迅速消除阻礙招聘員工的官僚障礙。各機構(gòu)必須建立一條管道，不斷向聯(lián)邦政府輸送網(wǎng)絡和安全人才。

擁有云計算技能的技術專業(yè)人員市場，競爭十分激烈。在可能的情況下，各機構(gòu)應利用私營部門使用的技術，吸引和雇用聯(lián)邦政府的最佳候選人。各機構(gòu)應與其首席人力資本官協(xié)調(diào)，執(zhí)行積極的征聘戰(zhàn)略，例如：參加行業(yè)會議和招聘會；舉辦全國性的招聘活動，以加強認知和推廣；開發(fā)“最需要”的人才廣告，以展示關鍵需求；確保在像USAJOBS這樣地方所發(fā)布的????位，能夠恰當?shù)胤从乘璧募寄?；通過社交媒體平臺吸引候選人；分析和分享當前的員工經(jīng)驗；在適當情況下利用擇優(yōu)晉升招聘程序，留住、晉升或重新部署現(xiàn)任聯(lián)邦雇員；以及展示多元化和包容性舉措。

美國政府在努力為聯(lián)邦員工團隊招募現(xiàn)有人才的同時，還應該建立一個人才管道，擴大合格申請人的范圍。通過勞動力理事會和首席信息官理事會（CIOC）的舉措，除了利用已有的伙伴關系外，美國政府還將繼續(xù)與社區(qū)學院、學徒計劃和四年制機構(gòu)建立伙伴關系。機構(gòu)過渡戰(zhàn)略應擴大包括對再培訓和提高技能解決方案的考量。

員工溝通、參與和過渡策略

在遷移到云之前，機構(gòu)應執(zhí)行溝通計劃，以幫助員工了解實施云敏捷戰(zhàn)略所需要的改變。例如，遷移到云環(huán)境中，可能需要淘汰已使用多年的老舊系統(tǒng)。員工可能會感到不情愿，特別是如果要重新定義職位，以及學習在云環(huán)境中操作新系統(tǒng)。機構(gòu)可以通過清楚地說明一旦上云完成，當前的員工將如何適應，從而減輕員工的擔憂。將技術路線圖社交化, 包括將全部???????部分遷移到云的系統(tǒng), 并提供包括再培訓機會的變更管理流程大綱，是極其必要的。與員工進行溝通和互動，是成功采用新的云解決方案的關鍵。聯(lián)邦各機構(gòu)應該樂于利用參與云遷移活動的供應商，為當前員工提供或支持培訓。

消除官僚主義障礙，迅速招聘人才

對具有云計算技能的技術專業(yè)人員的需求處于歷史最高水平。這意味著吸引、招募和留住合適的人才，將采用可執(zhí)行的人力資本戰(zhàn)略并簡化招聘流程。擁有積極的招聘時間表和有競爭力報價的機構(gòu)，將利用薪酬和招聘激勵措施來吸引人才。機構(gòu)領導層必須確定并迅速解決阻礙機構(gòu)快速聘用人才的官僚障礙。

根據(jù)《美國法典》（United States Code）第5章，聯(lián)邦政府各機構(gòu)擁有廣泛的權力，負責聘用頂尖的IT和網(wǎng)絡安全人才，并為具備優(yōu)越資質(zhì)或解決關鍵技能差距的候選人提供薪酬靈活性和激勵措施。強烈鼓勵各機構(gòu)利用現(xiàn)有的招聘機構(gòu)、招聘和助學貸款還款激勵機制，聘用具有高度受歡迎的云計算技能的專業(yè)人士。

聯(lián)邦機構(gòu)有責任，確保其當前和未來的員工已經(jīng)準備好，支持聯(lián)邦云環(huán)境。聯(lián)邦機構(gòu)云戰(zhàn)略應能使領導人發(fā)展信息技術和網(wǎng)絡安全工作人員, 并使其具備實現(xiàn)云遷移目標所需的技能, 以及支持改善關鍵公民服務的最新技術。