ICS35.030 CCS L80 GB 中华人民共和国国家标准 GB/T42461—2023 信息安全技术 网络安全服务成本 度量指南 Information security technologyGuidelines for cyber security service cost measurement 2023-03-17发布 2023-10-01实施 国家市场监督管理总局 发布 国家标准化管理委员会 GB/T42461—2023 目 次 前言 范围 2 规范性引用文件 3 术语和定义 4 概述 网络安全服务成本度量 5.1 总成本度量 5.2 人力成本度量 5.3 非人力成本度量 5.4 其他 附录A(资料性) 网络安全服务人员成本单价测算示例 附录B(资料性) 租赁软硬件产品费用和配套服务工具费用测算示例 B.1 租赁软硬件产品费用测算 B.2 配套服务工具日使用费用测算 附录C(资料性) 网络安全服务典型项目成本测算示例 C.1 网络安全服务项目背景 C.2 网络安全服务需求 C.3 人力成本测算 10 C.4 非人力成本测算 C.5 总成本和项目预算测算 参考文献 GB/T42461—2023 前言 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。 本文件起草单位:北京赛西科技发展有限责任公司、北京安信天行科技有限公司、中国电子科技网 络信息安全有限公司、北京江南天安科技有限公司、上海观安信息技术股份有限公司、奇安信科技集团 股份有限公司、中国信息安全测评中心、中国网络安全审查技术与认证中心、安天科技集团股份有限公 技股份有限公司、国网新疆电力有限公司电力科学研究院、北京天融信网络安全技术有限公司、中国长 江三峡集团有限公司、深信服科技股份有限公司、华数数字电视传媒集团有限公司、青岛民航凯亚系统 集成有限公司、中国移动通信有限公司研究院、北京神州绿盟科技有限公司。 本文件主要起草人:许玉娜、陈青民、陈冠直、刘慧晶、安锦程、张铁铮、谢江、王琰、孙明亮、尤其、 宋李李、贾非、王馨茹、张宁、周梦妍、张春明、张焱、黄长春、陈长松、干露、张淋、刘吉林、方厚锋、何玲、 马力、张静、张润时、叶翔、刘晓疆、刘青、杨凯、陈磊。 I GB/T42461—2023 信息安全技术 网络安全服务成本 度量指南 1范围 本文件确立了网络安全服务成本构成,提供了网络安全服务成本度量指南。本文件中的网络安全 服务成本不包含利润。 本文件适用于网络安全服务供需双方开展网络安全服务成本预算、项目招投标、项目决算以及相关 合同编制等活动,其他相关方参考使用。 2 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文 件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于 本文件。 GB/T25069—2022 信息安全技术 术语 GB/T30283—2022 信息安全技术 信息安全服务分类与代码 3 术语和定义 GB/T25069—2022和GB/T30283一2022界定的以及下列术语和定义适用于本文件。 3.1 网络安全服务 cyber securityservice 面向组织或个人的各类网络安全需求,由服务提供方按照服务协议所执行的一个网络安全过程 注1:网络安全服务通常是基于信息安全技术、产品或管理体系的,通过外包的形式,由专业网络安全人员或组织所 提供的支持和帮助。 注2:网络安全服务通常以网络安全服务提供方和网络安全服务需求方之间的服务项目形式进行。 注3:本文件中“网络安全服务”与GB/T30283一2022中的“信息安全服务”等同使用。 【来源:GB/T30283一2022.3.1.有修改 3.2 服务协议 serviceagreement 服务需求方和服务提供方在服务开始前共同签署的约定,并在服务过程中共同遵守。 注:通常包含服务原则、服务内容、服务形式、服务级别协议、服务价格、服务交付物、服务安全要求等,在形式上可 以是服务合同及其附属的工作说明书。 [来源:GB/T30283—2022,3.4,有修改] 3.3 网络安全服务需求方 cybersecurity serviceacquirer 需方 获取外部所提供的网络安全服务,以满足网络安全需求,实现自身业务目标的组织或个人。 [来源:GB/T30283—2022,3.2,有修改 1 GB/T42461—2023 3.4 网络安全服务提供方cybersecurityserviceprovider 供方 按照服务协议,通过专业的网络安全人员提供网络安全服务的组织或个人。 [来源:GB/T30283—2022,3.3,有修改] 3.5 服务级别协议 servicelevel agreement 网络安全服务供方与需方之间识别服务和约定服务绩效的文件化协议。 注:服务级别协议可以包含在服务协议或其他类型的文件化协议中。 4概述 网络安全服务过程指供方根据服务协议要求开展GB/T30283一2022规定的网络安全咨询、集成 设计与开发、安全运营、信息的安全处理和存储、测评与认证等服务及相关管理支持活动。其中: a) 网络安全咨询、集成、安全运营、信息的安全处理和存储、测评与认证服务成本度量见第5章; b) 网络安全设计与开发服务结合网络安全特点,参照GB/T36964一2018执行。 5 网络安全服务成本度量 5.1 总成本度量 总成本包括人力成本和非人力成本,总成本测算见公式(1)。 C=L+T ..(1) 式中: C—网络安全服务总成本; L———人力成本; T——非人力成本。 5.2 人力成本度量 人力成本指供方用于网络安全服务过程的人力资源费用,包括: 人员工资,指网络安全服务人员的工资、奖金、津贴和补贴等; b) 社保和公积金,指网络安全服务人员的养老保险、医疗保险、失业保险、工伤保险、生育保险和 公积金等; 管理成本,指网络安全服务实施过程中需分摊的管理费用。 人力成本测算见公式(2)。 L =-,(P,XQ:) ...(2) 式中: L 网络安全服务人力成本,单位为元; 第i级服务人员成本单价,单位为元每人日(元/人日); Q: 第级服务人员总体工作量,单位为人日,总体工作量根据服务需求、服务规模和服务级别 协议确定; m 网络安全服务人员级别数量。 2 GB/T42461—2023 各级别人员成本单价以人员工资为基数,设置人力成本调整系数将社保、公积金和管理成本纳入计 算,各级别人员成本单价测算见公式(3)。 P,=SXK,X(1+H) ....(3) 式中: P,——第i级服务人员成本单价,单位为元每人日(元/人日); S 一一人员日平均工资,单位为元每人日(元/人日),可参考国家统计局公布的各省市上一年信息 传输、软件和信息技术服务业年平均工资,以及行业或属地发布的网络安全从业人员平均 工资,并按照日进行折算; K, 服务人员级别调整系数,表1给出了4个网络安全服务人员级别调整系数取值范围; 表1 网络安全服务人员级别调整系数 服务人员级别 调整系数 取值范围 专家/资深 K, 4~5 高级 K2 2.5~4 中级 Ks 1.25~2.5 一般 K, 1~1.25 注:服务人员级别根据服务类型不同,可参考工作经验、工作年限、职业证书、学历等依据进行划分。 H 一一人力成本调整系数,包含社保、公积金和管理成本,该系数建议取值范围为0.5~1。 附录A给出了网络安全服务人员成本单价测算示例 5.3 非人力成本度量 非人力成本指供方用于网络安全服务过程的人力成本之外的其他成本 a) 务工具的费用。测算方法如下: 1) 专用资产采购费用根据采购目录价格或者市场报价进行计算; 2) 租赁软硬件产品费用可使用设备折旧算法、等额本金算法或基于附加率的年租费算法进 行计算,附录B中B.1给出了基于附加率的设备年租费的算法示例; 3) 配套服务工具费用可按照使用天数进行计算,B.2给出了配套服务工具日使用费测算 示例。 b) 材料费,包括服务过程中使用光纤、网线、办公用品耗材以及印刷等相关费用。 c) 业务费,包括差旅费、会议费以及供方为完成网络安全服务过程所需辅助活动产生的费用,如 招标代理费、评审费、验收费、第三方测试费等。 非人力成本测算见公式(4)。 T=E+M+B ......(4) 式中: 一非人力成本,单位为元; E-i 设备费,单位为元; M- 材料费,单位为元; B 业务费,单位为元。 3 GB/T42461—2023 5.4 4其他 需方在进行网络安全服务成本度量时,可结合服务内容的复杂度、岗位角色需求、服务所采用的现 场或远程服务形式等情况,测算人力成本和非人力成本,最终得出总成本。附录C给出了网络安全服 务典型项目成本测算示例。

pdf文档 GB T 42461-2023 信息安全技术 网络安全服务成本度量指南

文档预览
中文文档 17 页 50 下载 1000 浏览 0 评论 0 收藏 3.0分
温馨提示:本文档共17页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
GB T 42461-2023 信息安全技术 网络安全服务成本度量指南 第 1 页 GB T 42461-2023 信息安全技术 网络安全服务成本度量指南 第 2 页 GB T 42461-2023 信息安全技术 网络安全服务成本度量指南 第 3 页
下载文档到电脑,方便使用
本文档由 SC 于 2023-04-21 13:19:17上传分享
站内资源均来自网友分享或网络收集整理,若无意中侵犯到您的权利,敬请联系我们微信(点击查看客服),我们将及时删除相关资源。