7.5　人力资源规划

人力资源规划对企业来说极其重要，是说明和人相关的企业问题的方向性的规划，可以帮助管理者支持企业战略和实施人员管理。人力资源规划是管理人员以和其他战略相同的方式制定和推行的职能管理战略，人力资源是企业实现战略规划的关键环节，以其预测未来环境变化和经营目标从而引起的人力资源管理的变化，可以为企业提供所需要的人员配置和实施方案。人力资源的规划需要服从和服务于企业的总体战略目标，为企业实现总体目标提供人力资源保障。

7.5.1　人力资源规划概述

人力资源规划是根据企业的发展战略和经营目标、大市场环境和条件的变化，以科学的方式对企业人力资源需求和供给进行分析预测，从而制定对应的政策和措施，以实现企业人力资源供给和需求平衡的过程。涵盖分析预测未来企业人力资源的供求状态、制定执行计划、控制和评估等一系列过程。

人力资源规划需要达到以下几个目标：①在企业适当的岗位上安排适当的人选，包括数量、质量和层次结构，让组织和个人得到长期的发展；②在组织和个人目标达到最大一致的情况下让人力资源的供给和需求实现平衡；③对企业在变化环境中的人力资源进行分析，制定相应的政策以满足需求。通过计划的制定，确保人力资源管理活动和企业的战略目标一致；④保证人力资源管理活动中的各个环节能互相协调。

人力资源规划和组织战略的关系需要着重强调，企业的战略决定人力资源规划，人力资源规划以组织的战略目标为依据，同时需要服从组织的战略规划。人力资源规划的好坏会影响企业战略目标的实现效果，也决定了组织的人力资源能否得到保障。人力资源的规划需要随着组织战略目标的变化而变化，企业外部环境中关于政治、经济、法律、技术和文化等的因素都在变化，组织的战略目标也会随之不断变化。相应地，企业人力资源规划需要做适当调整以保证组织战略目标的实现。

在网络安全领域，按照不同岗位和能力可以划分成不同颜色的队伍，科学的网络安全人才体系不仅能方便企业组织内部的管理，确保合适的岗位上有合适的人选，包括数量、质量、层次结构等，同时对于整个网络安全行业而言也更有利于对未来人力资源的供求预测，以及制定和完善网络安全人才体系。如图7-1所示是网络安全运营架构体系，图中详细展示了网络安全不同颜色体系应设置的岗位及应具备的能力。

（1）红队：受雇于安全组织者，具有职业道德黑客精神。红队包含的岗位有情报搜集专员、渗透测试工程师、漏洞挖掘工程师、复杂对抗研究员、红队武器化专员，红队方向的岗位一般要求具备渗透测试、社会工程、漏洞挖掘、二进制逆向工程、无线安全、工控安全、OSINT、武器化的能力。

（2）蓝队：通过实时狩猎活动及时关联分析决策，快速有效地进行响应处置，属于蓝色体系的有安全运维工程师、情报分析师、应急工程师、威胁狩猎分析师、安全保障专家、日志管理专员，这个团队的成员需要具备网络技能、漏洞修复技能、狩猎技能、数据分析技能、情报知识技能、安保技能。

（3）黄队：能促使信息化安全高效，聚焦组织保护对象，保障业务安全运行。黄队包含的岗位有安全需求分析师、安全开发专员、安全测试人员、网络工程师、安全架构师、系统工程师，团队成员需要具备的能力条件有安全攻防技能、IT架构建设技能、系统架构建设技能、网络架构分析技能、产品架构设计技能、安全开发技能。

（4）紫队：从风险管理的视角挖掘红队的攻击能力、提升蓝队的防御能力。属于紫色体系的岗位有风险管理顾问、合规审计顾问、合规建设顾问、高级攻防顾问、攻防平台分析师，团队成员需要具备安全攻防技能、应急管理技能、规划设计技能、咨询管理技能。

（5）橙队：具备超前的岗位安全意识，可以帮助企业引导开发团队编码，弥补安全知识缺陷，属于橙色体系的岗位有企业安全意识培训师、资深安全培训专家、外部安全咨询顾问，团队成员需要具备安全编码能力、新技术研究能力、风险意识能力、讲师能力。

（6）绿队：负责跟踪问题修复情况，完善安全运营能力，持续不断地进行改进。绿队包含的岗位有安全产品优化专员、漏洞管理专员、安全开发咨询顾问，团队成员需要具备安全攻防技能、开发技能、脚本技能、漏洞修复技能。

（7）青队：具备重大危机快速处置能力，能根据安全事件进行溯源追踪司法定性。数字取证专家、溯源分析师和危机处置专家属于青队，青队方向也需要网络安全领域复合型尖端人才。

（8）暗队：负责安全研究及威胁情报的生产，以多维度多渠道的威胁情报数据汇聚融合，利用大数据分析和人工智能技术进行高质量价值提取，针对新技术应用安全的不断研究，研发及挖掘可利用漏洞，刻画对手实力、意图及目的。属于暗队体系的岗位有安全研究专家、样本分析专家、威胁情报专员等，团队人员需要具备新技术研究、威胁猎捕等能力。

（9）白队：负责构建安全知识体系和日常安全运营、安全事件生命周期管理，融合增强安全能力，实现网络安全风险管理的闭环落地，促进达成安全共同目标。白队体系的岗位有安全行业分析师、安全管理顾问、安全战略执行官、业务架构师、风险顾问等，团队人员需要掌握咨询技能、行业分析技能、管理技能、风险管理技能等。

除此之外，我们将从事网络安全领域的安全行业分析师、安全管理顾问、安全战略执行官、安全管理者、业务架构师归类于整合运营者，这类网络安全工作人员是企业网络安全的管理中心。对于网络安全领域的科学研究者、创作发明者、情报收集人员、情报分析人员，我们将其划归网络安全人机架构体系中的情报中心。管理中心和情报中心作为组织中的关键角色，二者的有效协同联动可以为网络安全其他颜色方向的队伍提供巨大能量。

网络安全市场环境在不断变化，供给需求也随之波动。在企业发展战略和经营战略的要求下，以全局性眼光，充分开发使用内外部网络安全人才，用科学的方法对网络安全人力资源进行挖掘开发，可有效将人的价值最大化。

7.5.2　人力资源规划的程序

人力资源规划涵盖众多内容，如总体规划、配备计划、退休裁员计划、人员补充计划、人员使用计划、培训开发计划、薪酬福利计划、劳动关系计划等。人力资源规划应遵循全局性原则、一致性原则、准确性原则、可控性原则。流程如下：搜集有关信息资料→人力资源需求预测→人力资源供给预测→确定人员净需求→制定具体规划→人力资源规划的执行和评估，以此循环。

搜集的信息资料包括内、外部信息，内部信息包含企业的经营战略和目标、具体业务计划、职位类型和基本要求、培训及教育、薪资福利待遇情况、辞职率等；外部信息主要是宏观经济和行业形势、市场竞争情况、劳动力供需求及政府相关的政策等。

在了解企业内外部信息后，结合企业内外部环境对企业未来的人力资源进行分析预测。进行人力资源规划的外部环境因素包括社会、政治、法律和经济环境等。另外，企业的产品或劳务需求的变化也会影响企业的人力资源需求。

在搜集资料和预测需求的基础上，进一步分析和确定需求，制定规划，执行和评估规划。

7.5.3　人力资源供给预测方法

企业人力资源供给预测需要从内部开始，企业内的各类人员很多，并且随着时间的推移，企业内部各岗位的人员会有规律地进行转移。当企业内部员工有规律地进行转移时，转移的概率有一定的规则，可以用马尔可夫模型进行预测，从而预测出企业的人力资源供给。

本章所说的人力资源规划也称为人力资源计划，是为了满足企业的发展战略和经营目标，结合内外部的环境变化，以科学的方法对企业的人力资源需求和供给进行预测的过程。人力资源规划的主要内容包括总体规划、配备计划、补充计划、使用计划和薪酬计划。