GB/T 42461-2023 信息安全技术 网络安全服务成本度量指南

　　ICS 35 . 030 CCS L 80

　　中 华 人 民 共 和 国 国 家 标 准

　　GB/T 42461—2023

　　信息安全技术 网络安全服务成本

　　度量指南

　　Information security technology—Guidelines for cyber security service cost

　　measurement

　　2023-03-17 发布 2023-10-01 实施

　　国家市场监督管理总局国家标准化管理委员会

　　

　　发

　　

　　布

　　GB/T 42461—2023

　　目 次

　　前言 I

　　1 范围 1

　　2 规范性引用文件 1

　　3 术语和定义 1

　　4 概述 2

　　5 网络安全服务成本度量 2

　　5 . 1 总成本度量 2

　　5 . 2 人力成本度量 2

　　5 . 3 非人力成本度量 3

　　5 . 4 其他 4

　　附录 A (资料性) 网络安全服务人员成本单价测算示例 5

　　附录 B (资料性) 租赁软硬件产品费用和配套服务工具费用测算示例 7

　　B. 1 租赁软硬件产品费用测算 7

　　B. 2 配套服务工具日使用费用测算 7

　　附录 C (资料性) 网络安全服务典型项目成本测算示例 8

　　C. 1 网络安全服务项目背景 8

　　C. 2 网络安全服务需求 8

　　C. 3 人力成本测算 10

　　C. 4 非人力成本测算 13

　　C. 5 总成本和项目预算测算 13

　　参考文献 14

　　GB/T 42461—2023

　　前 言

　　本文件按照 GB/T 1 . 1—2020《标准化工作导则 第 1 部分:标准化文件的结构和起草规则》的规定起草 。

　　请注意本文件的某些内容可能涉及专利 。本文件的发布机构不承担识别专利的责任 。

　　本文件由全国信息安全标准化技术委员会(SAC/TC260)提出并归口 。

　　本文件起草单位:北京赛西科技发展有限责任公司 、北京安信天行科技有限公司 、中国电子科技网络信息安全有限公司 、北京江南天安科技有限公司 、上海观安信息技术股份有限公司 、奇安信科技集团股份有限公司 、中国信息安全测评中心 、中国网络安全审查技术与认证中心 、安天科技集团股份有限公司 、中电长城网际系统应用有限公司 、公安部第三研究所 、上海三零卫士信息安全有限公司 、杭州迪普科技股份有限公司 、国网新疆电力有限公司电力科学研究院 、北京天融信网络安全技术有限公司 、中国长江三峡集团有限公司 、深信服科技股份有限公司 、华数数字电视传媒集团有限公司 、青岛民航凯亚系统集成有限公司 、中国移动通信有限公司研究院 、北京神州绿盟科技有限公司 。

　　本文件主要起草人:许玉娜 、陈青民 、陈冠直 、刘慧晶 、安锦程 、张铁铮 、谢江 、王琰 、孙明亮 、尤其 、宋李李 、贾非 、王馨茹 、张宁 、周梦妍 、张春明 、张焱 、黄长春 、陈长松 、干露 、张淋 、刘吉林 、方厚锋 、何玲 、马力 、张静 、张润时 、叶翔 、刘晓疆 、刘青 、杨凯 、陈磊 。

　　I

　　GB/T 42461—2023

　　信息安全技术 网络安全服务成本

　　度量指南

　　1 范围

　　本文件确立了网络安全服务成本构成 , 提供了网络安全服务成本度量指南 。本文件中的网络安全服务成本不包含利润 。

　　本文件适用于网络安全服务供需双方开展网络安全服务成本预算 、项目招投标 、项目决算以及相关合同编制等活动 , 其他相关方参考使用 。

　　2 规范性引用文件

　　下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款 。其中 , 注 日期的引用文件 , 仅该日期对应的版本适用于本文件;不注日期的引用文件 , 其最新版本(包括所有的修改单)适用于本文件 。

　　GB/T 25069—2022 信息安全技术 术语

　　GB/T 30283—2022 信息安全技术 信息安全服务 分类与代码

　　3 术语和定义

　　GB/T 25069—2022 和 GB/T 30283—2022 界定的以及下列术语和定义适用于本文件 。 3.1

　　网络安全服务 cyber security service

　　面向组织或个人的各类网络安全需求 , 由服务提供方按照服务协议所执行的一个网络安全过程 。

　　注 1 : 网络安全服务通常是基于信息安全技术 、产品或管理体系的 , 通过外包的形式 , 由专业网络安全人员或组织所

　　提供的支持和帮助 。

　　注 2 : 网络安全服务通常以网络安全服务提供方和网络安全服务需求方之间的服务项目形式进行 。

　　注 3 : 本文件中“ 网络安全服务”与 GB/T 30283—2022 中的“信息安全服务”等同使用 。

　　[来源: GB/T 30283—2022 , 3 . 1 , 有修改] 3.2

　　服务协议 service agreement

　　服务需求方和服务提供方在服务开始前共同签署的约定 , 并在服务过程中共同遵守 。

　　注 : 通常包含服务原则 、服务内容 、服务形式 、服务级别协议 、服务价格 、服务交付物 、服务安全要求等 , 在形式上可以是服务合同及其附属的工作说明书 。

　　[来源: GB/T 30283—2022 , 3 . 4 , 有修改] 3.3

　　网络安全服务需求方 cyber security service acquirer

　　需方

　　获取外部所提供的网络安全服务 , 以满足网络安全需求 , 实现自身业务目标的组织或个人 。

　　[来源: GB/T 30283—2022 , 3 . 2 , 有修改]

　　1

　　GB/T 42461—2023

　　3.4

　　网络安全服务提供方 cyber security service provider

　　供方

　　按照服务协议 , 通过专业的网络安全人员提供网络安全服务的组织或个人 。

　　[来源: GB/T 30283—2022 , 3 . 3 , 有修改] 3.5

　　服务级别协议 service level agreement

　　网络安全服务供方与需方之间识别服务和约定服务绩效的文件化协议 。

　　注 : 服务级别协议可以包含在服务协议或其他类型的文件化协议中 。

　　4 概述

　　网络安全服务过程指供方根据服务协议要求开展 GB/T 30283—2022 规定的网络安全咨询 、集成 、设计与开发 、安全运营 、信息的安全处理和存储 、测评与认证等服务及相关管理支持活动 。其中:

　　a) 网络安全咨询 、集成 、安全运营 、信息的安全处理和存储 、测评与认证服务成本度量见第 5 章 ;

　　b) 网络安全设计与开发服务结合网络安全特点 , 参照 GB/T 36964—2018 执行 。

　　5 网络安全服务成本度量

　　5 . 1 总成本度量

　　总成本包括人力成本和非人力成本 , 总成本测算见公式(1) 。

　　C = L + T …………………………( 1 )

　　式中:

　　C — 网络安全服务总成本 ;

　　L — 人力成本 ;

　　T — 非人力成本 。

　　5 . 2 人力成本度量

　　人力成本指供方用于网络安全服务过程的人力资源费用 , 包括:

　　a) 人员工资 , 指网络安全服务人员的工资 、奖金 、津贴和补贴等 ;

　　b) 社保和公积金 , 指网络安全服务人员的养老保险 、医疗保险 、失业保险 、工伤保险 、生育保险和公积金等 ;

　　c) 管理成本 , 指网络安全服务实施过程中需分摊的管理费用 。

　　人力成本测算见公式(2) 。

　　L …………………………( 2 )

　　式中:

　　L — 网络安全服务人力成本 , 单位为元 ;

　　pi — 第 i 级服务人员成本单价 , 单位为元每人 日 (元/人 日 ) ;

　　Qi — 第 i 级服务人员总体工作量 , 单位为人 日 , 总体工作量根据服务需求 、服务规模和服务级别协议确定 ;

　　m — 网络安全服务人员级别数量 。

　　2

　　GB/T 42461—2023

　　各级别人员成本单价以人员工资为基数 , 设置人力成本调整系数将社保 、公积金和管理成本纳入计算 , 各级别人员成本单价测算见公式(3) 。

　　pi = S × Ki × (1 + H) …………………………( 3 )

　　式中:

　　pi — 第 i 级服务人员成本单价 , 单位为元每人 日 (元/人 日 ) ;

　　S — 人员 日平均工资 , 单位为元每人 日 (元/人日) , 可参考国家统计局公布的各省市上一年信息传输 、软件和信息技术服务业年平均工资 , 以及行业或属地发布的网络安全从业人员平均工资 , 并按照 日进行折算 ;

　　Ki — 服务人员级别调整系数 , 表 1 给出了 4 个网络安全服务人员级别调整系数取值范围 ;

　　表 1 网络安全服务人员级别调整系数

　　服务人员级别

　　调整系数

　　取值范围

　　专家/资深

　　K1

　　4~5

　　高级

　　K2

　　2 . 5~4

　　中级

　　K3

　　1 . 25~2 . 5

　　一般

　　K4

　　1~1 . 25

　　注 : 服务人员级别根据服务类型不同 , 可参考工作经验 、工作年限 、职业证书 、学历等依据进行划分 。

　　H — 人力成本调整系数 , 包含社保 、公积金和管理成本 , 该系数建议取值范围为 0 . 5~1 。

　　附录 A 给出了网络安全服务人员成本单价测算示例 。

　　5 . 3 非人力成本度量

　　非人力成本指供方用于网络安全服务过程的人力成本之外的其他成本 。

　　a) 设备费 , 包括供方根据需方网络安全服务需求而采购的专用资产 、租赁软硬件产品或者配套服务工具的费用 。测算方法如下:

　　1) 专用资产采购费用根据采购目录价格或者市场报价进行计算 ;

　　2) 租赁软硬件产品费用可使用设备折旧算法 、等额本金算法或基于附加率的年租费算法进行计算 , 附录 B 中 B. 1 给出了基于附加率的设备年租费的算法示例 ;

　　3) 配套服务工具费用可按照使用天数进行计算 , B. 2 给出了配套服务工具 日 使用费测算示例 。

　　b) 材料费 , 包括服务过程中使用光纤 、网线 、办公用品耗材以及印刷等相关费用 。

　　c) 业务费 , 包括差旅费 、会议费以及供方为完成网络安全服务过程所需辅助活动产生的费用 , 如招标代理费 、评审费 、验收费 、第三方测试费等 。

　　非人力成本测算见公式(4) 。

　　T = E + M + B …………………………( 4 )

　　式中:

　　T — 非人力成本 , 单位为元 ;

　　E — 设备费 , 单位为元 ;

　　M — 材料费 , 单位为元 ;

　　B — 业务费 , 单位为元 。

　　3

　　GB/T 42461—2023

　　5 . 4 其他

　　需方在进行网络安全服务成本度量时 , 可结合服务内容的复杂度 、岗位角色需求 、服务所采用的现场或远程服务形式等情况 , 测算人力成本和非人力成本 , 最终得出总成本 。 附录 C 给出了网络安全服务典型项目成本测算示例 。

　　4

　　GB/T 42461—2023

　　附 录 A

　　(资料性)

　　网络安全服务人员成本单价测算示例

　　参考国家统计局发布的 2020 年各省市信息传输 、软件和信息技术服务业平均工资 , 2021 年各省市各级别网络安全服务人员成本综合单价测算如下:

　　a) 网络安全服务人员 日平均工资(S)为年平均工资(AS)除以年工作天数 , 其中每月工作天数取值为 20 . 83 , 计算公式见式(A. 1) ;

　　S =AS÷ (12 × 20 . 83) …………………………( A. 1 )

　　注 : 依据《关于职工全年月平均工作时间和工资折算问题的通知》(劳社部发Γ2008〕3 号) , 每月工作天数为 20 . 83 。

　　b) 网络安全服务人员级别调整系数(Ki )按照表 1 中最高值进行测算 , K4 取 1 . 25 , K3 取 2 . 5 , K2取 4 , K1 取 5 ;

　　c) 人力成本调整系数(H)取 0 . 7 ;

　　d) 综上计算得出 2021 年各省市各级别网络安全服务人员成本单价(Pi )值 , 见表 A. 1 。

　　表 A. 1 2021 年各省市各级别网络安全服务人员成本单价

　　省市

　　年平均工资元

　　日平均工资元

　　各级别网络安全服务人员成本单价

　　元/人 日

　　一般(P4 )

　　中级(P3 )

　　高级(P2 )

　　专家/资深(P1 )

　　北京市

　　259 729

　　1 039

　　2 208

　　4 416

　　7 066

　　8 832

　　天津市

　　146 977

　　588

　　1 250

　　2 499

　　3 998

　　4 998

　　河北省

　　100 220

　　401

　　852

　　1 704

　　2 726

　　3 408

　　山西省

　　90 594

　　362

　　770

　　1 540

　　2 465

　　3 081

　　内蒙古自治区

　　104 563

　　418

　　889

　　1 778

　　2 845

　　3 556

　　辽宁省

　　113 412

　　454

　　964

　　1 928

　　3 085

　　3 857

　　吉林省

　　81 754

　　327

　　695

　　1 390

　　2 224

　　2 780

　　黑龙江省

　　80 673

　　323

　　686

　　1 372

　　2 195

　　2 743

　　上海市

　　270 619

　　1 083

　　2 301

　　4 601

　　7 362

　　9 203

　　江苏省

　　162 939

　　652

　　1 385

　　2 770

　　4 433

　　5 541

　　浙江省

　　235 430

　　942

　　2 001

　　4 003

　　6 405

　　8 006

　　安徽省

　　101 715

　　407

　　865

　　1 729

　　2 767

　　3 459

　　福建省

　　131 811

　　527

　　1 121

　　2 241

　　3 586

　　4 482

　　江西省

　　95 779

　　383

　　814

　　1 629

　　2 606

　　3 257

　　山东省

　　105 284

　　421

　　895

　　1 790

　　2 864

　　3 580

　　河南省

　　83 900

　　336

　　713

　　1 427

　　2 282

　　2 853

　　湖北省

　　114 162

　　457

　　971

　　1 941

　　3 106

　　3 882

　　湖南省

　　107 317

　　429

　　912

　　1 825

　　2 919

　　3 649

　　广东省

　　193 867

　　776

　　1 648

　　3 296

　　5 274

　　6 593

　　5

　　GB/T 42461—2023

　　表 A. 1 2021 年各省市各级别网络安全服务人员成本单价 (续)

　　省市

　　年平均工资元

　　日平均工资元

　　各级别网络安全服务人员成本单价

　　元/人 日

　　一般(P4 )

　　中级(P3 )

　　高级(P2 )

　　专家/资深(P1 )

　　广西壮族自治区

　　101 642

　　407

　　864

　　1 728

　　2 765

　　3 456

　　海南省

　　146 342

　　585

　　1 244

　　2 488

　　3 981

　　4 976

　　重庆市

　　137 276

　　549

　　1 167

　　2 334

　　3 735

　　4 668

　　四川省

　　128 891

　　516

　　1 096

　　2 191

　　3 506

　　4 383

　　贵州省

　　111 635

　　447

　　949

　　1 898

　　3 037

　　3 796

　　云南省

　　105 698

　　423

　　899

　　1 797

　　2 875

　　3 594

　　西藏自治区

　　142 827

　　571

　　1 214

　　2 428

　　3 886

　　4 857

　　陕西省

　　160 066

　　640

　　1 361

　　2 722

　　4 354

　　5 443

　　甘肃省

　　85 034

　　340

　　723

　　1 446

　　2 313