标准规范下载简介
GB/T 42461-2023 信息安全技术 网络安全服务成本度量指南.pdf信息安全技术网络安全服务成本
国家市场监督管理总局 发布 国家标准化管理委员会
GB/T 42461—2023
会所测量施工方案范围: 规范性引用文件 术语和定义 概述 网络安全服务成本度量 5.1总成本度量 5.2人力成本度量 5.3非人力成本度量 5.4其他 附录A(资料性)网络安全服务人员成本单价测算示例……… 附录B(资料性)租赁软硬件产品费用和配套服务工具费用测算示例 B.1租赁软硬件产品费用测算·…… B.2配套服务工具日使用费用测算… 附录C(资料性)网络安全服务典型项目成本测算示例 C.1网络安全服务项目背景.….… C.2网络安全服务需求 C.3人力成本测算. 10 C.4非人力成本测算 13 C.5总成本和项目预算测算.… 参考文献
本文件按照GB/个1.1一2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。 本文件起草单位:北京赛西科技发展有限责任公司、北京安信天行科技有限公司、中国电子科技网 络信息安全有限公司、北京江南天安科技有限公司、上海观安信息技术股份有限公司、奇安信科技集团 股份有限公司、中国信息安全测评中心、中国网络安全审查技术与认证中心、安天科技集团股份有限公 司、中电长城网际系统应用有限公司、公安部第三研究所、上海三零卫士信息安全有限公司、杭州迪普科 技股份有限公司、国网新疆电力有限公司电力科学研究院、北京天融信网络安全技术有限公司、中国长 江三峡集团有限公司、深信服科技股份有限公司、华数数字电视传媒集团有限公司、青岛民航凯亚系统 集成有限公司、中国移动通信有限公司研究院、北京神州绿盟科技有限公司。 本文件主要起草人:许玉娜、陈青民、陈冠直、刘慧晶、安锦程、张铁铮、谢江、王琰、孙明亮、尤其、 宋李李、贾非、王馨茹、张宁、周梦妍、张春明、张焱、黄长春、陈长松、干露、张淋、刘吉林、方厚锋、何玲 马力、张静、张润时、叶翔、刘晓疆、刘青、杨凯、陈磊
信息安全技术网络安全服务成本 度量指南
息安全技术网络安全服务成本
本文件确立了网络安全服务成本构成,提供了网络安全服务成本度量指南。本文件中的网络安全 服务成本不包含利润。 本文件适用于网络安全服务供需双方开展网络安全服务成本预算、项目招投标、项目决算以及相关 合同编制等活动,其他相关方参考使用
GB/T25069—2022和GB/T30283—2022界定的以及下列术语和定义适用于本文件。 3.1 网络安全服务cybersecurityservice 面向组织或个人的各类网络安全需求,由服务提供方按照服务协议所执行的一个网络安全过程。 注1:网络安全服务通常是基于信息安全技术、产品或管理体系的,通过外包的形式,由专业网络安全人员或组织所 提供的支持和帮助。 注2:网络安全服务通常以网络安全服务提供方和网络安全服务需求方之间的服务项目形式进行。 注3:本文件中“网络安全服务”与GB/T30283一2022中的“信息安全服务”等同使用。 [来源:GB/T30283—2022,3.1,有修改] 3.2 服务协议serviceagreement 服务需求方和服务提供方在服务开始前共同签署的约定,并在服务过程中共同遵守。 注:通常包含服务原则、服务内容、服务形式、服务级别协议、服务价格、服务交付物、服务安全要求等,在形式上可 以是服务合同及其附属的工作说明书。 [来源:GB/T30283一2022,3.4,有修改] 3.3 网络安全服务需求方cybersecurityserviceacquirer 需方 获取外部所提供的网络安全服务,以满足网络安全需求,实现自身业务目标的组织或个人。 [来源:GB/T30283—2022,3.2,有修改]
网络安全服务提供方cybersecurityserviceprovider 供方 按照服务协议,通过专业的网络安全人员提供网络安全服务的组织或个人 [来源:GB/T30283一2022,3.3,有修改] 3.5 服务级别协议servicelevelagreement 网络安全服务供方与需方之间识别服务和约定服务绩效的文件化协议。 注:服务级别协议可以包含在服务协议或其他类型的文件化协议中
网络安全服务过程指供方根据服务协议要求开展GB/T30283一2022规定的网络安全咨询、集成, 设计与开发、安全运营、信息的安全处理和存储、测评与认证等服务及相关管理支持活动。其中: a)网络安全咨询、集成、安全运营、信息的安全处理和存储、测评与认证服务成本度量见第5章; b)网络安全设计与开发服务结合网络安全特点,参照GB/T36964一2018执行。
总成本包括人力成本和非人力成本,总成本测算见公式(1)。 C=L十T ·......( 式中: 一 — 一网络安全服务总成本; 一人力成本; T 一非人力成本
式中: 网络安全服务总成本; 人力成本; 非人力成本
人力成本指供方用于网络安全服务过程的人力资源费用,包括: a) 人员工资,指网络安全服务人员的工资、奖金、津贴和补贴等; b) 1M不 社保和公积金,指网络安全服务人员的养老保险、医疗保险、失业保险、工伤保险、生育保险和 公积金等; 管理成本,指网络安全服务实施过程中需分摊的管理费用。 人力成本测算见公式(2)
式中: L 一一网络安全服务人力成本,单位为元; P:一一第i级服务人员成本单价,单位为元每人日(元/人日); Q 一一第i级服务人员总体工作量,单位为人日,总体工作量根据服务需求、服务规模和服务级别 协议确定; m 网络安全服务人员级别数量,
各级别人员成本单价以人员工资为基数,设置人力成本调整系数将社保、公积金和管理成本纳 ,各级别人员成本单价测算见公式(3)。
式中: P;一一第i级服务人员成本单价,单位为元每人日(元/人日); 一一人员日平均工资,单位为元每人日(元/人日),可参考国家统计局公布的各省市上一年信息 传输、软件和信息技术服务业年平均工资,以及行业或属地发布的网络安全从业人员平均 工资,并按照日进行折算; K :一一服务人员级别调整系数,表1给出了4个网络安全服务人员级别调整系数取值范围;
网络安全服务人员级别
H 人力成本调整系数,包含社保、公积金和管理成本,该系数建议取值范围为0.5 附录A给出了网络安全服务人员成本单价测算示例
非人力成本指供方用于网络安全服务过程的人力成本之外的其他成本。 a)设备费,包括供方根据需方网络安全服务需求而采购的专用资产、租赁软硬件产品或者配套服 务工具的费用。测算方法如下: 1)专用资产采购费用根据采购目录价格或者市场报价进行计算; 2)租赁软硬件产品费用可使用设备折旧算法、等额本金算法或基于附加率的年租费算法进 行计算,附录B中B.1给出了基于附加率的设备年租费的算法示例; 3)配套服务工具费用可按照使用天数进行计算,B.2给出了配套服务工具日使用费测算 示例。 b)材料费,包括服务过程中使用光纤、网线、办公用品耗材以及印刷等相关费用。 C) )业务费,包括差旅费、会议费以及供方为完成网络安全服务过程所需辅助活动产生的费用,如 招标代理费、评审费、验收费、第三方测试费等。 非人力成本测算见公式(4)。
式中: 非人力成本,单位为元; 山 设备费,单位为元; 材料费,单位为元; B 业务费,单位为元。
需方在进行网络安全服务成本度量时,可结合服务内容的复杂度、岗位角色需求、服务所采用的现 场或远程服务形式等情况,测算人力成本和非人力成本,最终得出总成本。附录C给出了网络安全服 务典型项目成本测算示例。
需方在进行网络安全服务成本度量时,可结合服务内容的复杂度、岗位角色需求、服务所采用的现 场或远程服务形式等情况,测算人力成本和非人力成本,最终得出总成本。附录C给出了网络安全服 务典型项目成本测算示例。
附录A (资料性) 网络安全服务人员成本单价测算示例 参考国家统计局发布的2020年各省市信息传输、软件和信息技术服务业平均工资,2021年各省市 各级别网络安全服务人员成本综合单价测算如下: a)网络安全服务人员日平均工资(S)为年平均工资(AS)除以年工作天数,其中每月工作天数取 值为20.83,计算公式见式(A.1); S=AS÷(12×20.83) ....................... .A.. 注:依据《关于职工全年月平均工作时间和工资折算问题的通知》(劳社部发(2008]3号),每月工作天数为20.83。 b)网络安全服务人员级别调整系数(K,)按照表1中最高值进行测算,K。取1.25,K。取2.5,K 取4,K取5; c)人力成本调整系数(H)取0.7; d)综上计算得出2021年各省市各级别网络安全服务人员成本单价(P:)值,见表A.1。
2021年各省市各级别网络安全服务人员成本
021年各省市各级别网络安全服务人员成本单价
B.1租赁软硬件产品费用测算
附录B (资料性) 租赁软硬件产品费用和配套服务工具费用测算示例
赁软硬 品费用和配套服务 旱示例
基于附加率的年租费计算见式(B.1)。 R=DX(1+NXI)N+DXr...............….B..1 式中: R 一一年租费; 2 软硬件产品价格,可根据央采或地方政府采购网站相关软硬件产品的价格或向多个厂商询 价后计算产品的平均价、中位数进行确定; N一一租赁年数; 附加率,指在租赁购置成本上附加一项特定的附加利率,取值通常为纳税税率; 折现率,指将未来有限期预期收益折算成现值的比率。折现率可以资产的市场利率、年限 为依据,参考资产的特定环境等因素来考虑调整。其计算见式(B.2)。
网络安全服务工具普遍按照5年进行折旧,按照基于附加率算法,每日工具使用费用为其年租费除 以年工作天数,按照工具价格20万元计算,结合式(B.1)计算每日使用费用为: [200000×(1+5×0.07)÷5+200000×0.06]÷(12×20.83)≈264元
附录C (资料性) 网络安全服务典型项目成本测算示例
某单位计划采购网络安全服务,在预算阶段需要对网络安全服务的成本进行度量施工方案资料库,测算项目预 算,为后期招标标的设置提供参考。
C.2网络安全服务需求
设备费依照项目需求,态势感知主机、态势感知探针和基线核查设备属于按照年度租赁产品,按照 B.1进行费用测算;漏洞扫描设备属于配套服务工具,按需使用,按照B.2进行费用测算。各产品价格 采用市场三方询价方式,计算平均值得出。详细测算方法见表C.4。
表C.4设备费测算方法
材料费根据需方租赁相关产品实施所需光纤、网线等耗材成本,以及项目各类成果印刷成本,估算 为1万元。 业务费包括招标代理费和评审费,招标代理费按照其相关行业通用算法进行计算,评审费用按照次 数和人数进行测算,详细测算方法见表C.5
GB/T 28046.2-2019 道路车辆 电气及电子设备的环境条件和试验 第2部分:电气负荷表C.5业务费测算方法
依据公式(4)计算可得非人力成本总额为: 877 907+10000+71050=958957元