2022信息安全技术 网络安全服务成本度量指南.docx

信息安全技术网络安全服务成本度量指南目次前言II2规范性引用文件33术语和定义35网络安全服务成本度量45.1总成本度量15.2人力成本度量4区3非人力成本度量5附录A（资料性）网络安全服务人员成本单价测算示例6附录B（资料性）租赁软硬件产品费用和配套服务工具费用测算示例8信息安全技术网络安全服务成本度量指南1范围本文件给出了网络安全服务成木构成，提供了网络安全服务成本度量指南。木文件中的网络安全服务成本不包含利润。本文件适用于网络安全服务供需双方开展网络安全服务成本预算、项目招投标、项目决算以及相关合同编制等活动，其他相关方可参考使用。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件：不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T25069信息安全技术术语GB/T30283-XXXX信息安全技术信息安全服务分类与代码GB/T36964-2018软件工程软件开发成本度量规范3术语和定义GB/T25069和GB/T30283-XXXX界定的以及下列术语和定义适用于本文件。31网络安全服务cybersecurityservice面向组织或个人的各类网络安全需求，由服务提供方按照服务协议所执行的一个网络安全过程。注1：网络安全服务通常是基于信息安全技术、产品或管理体系的，通过外包的形式，由专业网络安全人员或组织所提供的支持和帮助.注2：网络安全服务通常以网络安全服务提供方和网络安全服务需求方之间的服务项目形式进行。注3：本文件中"网络安全服务"与GB/T30283XXXX中的"信息安全服务”等同使用.来源：GB/T30283XXXX,3.1,有修改37服务协议serviceagreement服务需求方和服务提供方在服务开始前共同签署的约定，并在服务过程中共同遵守0注：通常应包含服务原则、服务内容、服务形式、服务级别协议、服务价格、服务交付物、服务安全要求等，在形式上可以是服务合同及其附属的工作说明书。来源：GB/T30283XXXX,3.4,有修改33网络安全服务需求方Cybersecurityserviceacquirer需方获取外部所提供的网络安全服务，以满足网络安全需求，实现自身业务目标的组织或个人。来源：GB/T30283XXXX,3.2,有修改34网络安全服务提供方cybersecurityserviceprovider供方按照服务协议，通过专业的网络安全人员提供网络安全服务的组织或个人。来源:GB/T30283XXXX,3.3,有修改服务级别协议servicelevelagreementSLA网络安全服务供方与需方之间识别服务和约定服务绩效的文件化协议。注：服务级别协议可以包含在服务协议或其它类型的文件化协议中。4概述网络安全服务过程指供方根据服务协议要求开展GB/T30283-XXXX中规定的网络安全咨询、集成、设计与开发、安全运营、信息的安全处理和存储、测评与认证等服务及相关管理支持活动。其中：a）网络安全咨询、安全运营、信息的安全处理和存储服务成本度量见第5章：b）网络安全工程监理服务、网络安全集成服务成本度最参照国家主管部门、行业主管部门和地方主管部门等相关要求执行：c）网络安全测评和认证服务按照相关行业主管部门确定的认证收费标准执行；d）网络安全设计与开发服务结合网络安全特点，参照GB/T36964-2018执行。5网络安全服务成本度量51总成本度量总成本包括人力成本和非人力成本，测算见公式（1）：C-L”r（）式中：C网络安全服务总成本：L-人力成本：T非人力成本.S5人力成本度量人力成本指供方用于网络安全服务过程的人力资源费用，包括：a）人员工资，指网络安全服务人员的工资、奖金、津贴和补贴等：b）社会保险金，指网络安全服务人员的养老保险、医疗保险、失业保险、工伤保险、生育保险和公积金等：c）管理成本，指网络安全服务实施过程中需分摊的管理费用。人力成本测算见公式（2）：/.p（2）式中：1.-网络安全服务人力成本，其单位为元；Pi-第i级服务人员成本单价，其单位为元/人日；Qi一一第i级服务人员总体工作量，其单位为人日，总体工作量根据服务需求、服务规模和服务级别协议确定：m一一网络安全服务人员级别数量。各级别人员成本单价测算见公式（3）：PiHSXKiX门+HJ（3）式中：P1一一第i级服务人员成本单价，其单位为元/人日：S-人员日平均工资，其单位为元/人日，可参考国家统计局公布的各省市上一年信息传输、软件和信息技术服务业年平均工资，以及行、11或属地发布的网络安全从业人员平均工资，并按照日进行折算；Ki一一服务人员级别调整系数，表1给出了4个网络安全服务人员级别调整系数取值范围；表1网络安全服务人员级别调整系数服务人员级别调整系数取值范围专家/资深Kl45高级KZ2,5-4中级心1.252.5一般11.25备注：服务人员级别根据服务类型不同，可参考工作经验、工作年限、职业证书、学历等依据进行划分.H一一人力成本调整系数，包含社会保险金和管理成本，该系数建议取值范围为0.51。附录A给出了网络安全服务人员成本单价测算示例。S1非人力成本度量非人力成本测算见公式（4）：T=E+M+B（4）式中：T非人力成本，其单位为元:E一一设备费，其单位为元：M-一材料费，其单位为元；B-业务费，其单位为元。非人力成本各项内容组成如下：a）设备费包括供方根据需方网络安全服务需求而采购的专用资产、租赁软硬件产品或者配套服务工具的费用。测算方法如下：1）专用资产采购费用根据采购Fl录价格或者市场报价进行计算；2）租赁软硬件产品费用可使用设备折旧算法、等额本金算法或基于附加率的年租费算法进行计算，附录B.1给出了基于附加率的设备年租费的算法示例；3）配套服务工具可按照使用天数进行计算，附录B.2给出了配套服务工具日使用费测算示例.b）材料费包括服务过程中使用光纤、网线、办公用品耗材、印刷等相关费用；c）业务费包括差旅费、会议费以及供方为完成网络安全服务过程所需辅助活动产生的费用，如招标代理费、评审费、验收费、第三方测试费等。附录A（资料性）网络安全服务人员成本单价测算示例参考国家统计局发布的2020年各省市信息传输、软件和信息技术服务业平均工资，2021年各省市各级别网络安全服务人员成本综合单价测算如下：a）网络安全服务人员日平均工资（三）为年平均工资除以年工作天数，其中每月工作天数取值为20.83,计算公式见式（A.1）；人员日平均工资=年平均工资+（12X20.83）（A.1）注：依据关于职工全年月平均工作时间和L资折算问题的通知（劳社部发（2008）3号），每月工作天数为20.83。b）网络安全服务人员级别调整系数（Ki）按照表1中最高值进行测算，心为1.25,心为2.5,K2为4,AI为5sc）人力成本调整系数（三）取值为0.7:d）综上计算得出2021年各省市各级别网络安全服务人员成本单价（Pi）值，见表A.1,表A.12021年各省市各级别网络安全服务人员成本单价单位：元/人日省市年平均工资日平均工资（D一般（PC中级高级（PG专家/资深（Pl）北京市25972910391299259841565195天津市146977588735147023522940河北省100220401501100216042005山西省9059436245390614501812内蒙古自治区104563418523104616732092辽宁省113412454567113418152269吉林省8175432740981813081635黑龙江省8067332340380712911614上海市.27061910831353270743315413江苏省162939652815163026073259浙江省2354309421177235537674709安徽省101715407509101716282035福建省131811527659131821092637江西省9577938347995815331916山东省105284421527105316852106河南省8390033642083913431678湖北省114162457571114218272284湖南省107317429537107317172147广东省193867776969193931023878广西壮族自治区101642407508101716272033海南省146342585732146423422927重庆市137276549686137321972746四川省128891516645128920632578贵州省111635447558111717862233云南省105698423529105716912114表A.1（续）省市年平均工资日平均工资一般(Pc中级(P3)高级（八）专家/资深(Pl)西藏自治区142827571714142822862857陕西省160066640800160125613202甘肃省8503434042585013611701吉海省125531502628125620092511宁夏问族自治区121971188610122019522440新疆维吾尔自治区(含建设兵团)108429434542108117352169附录B(资料性)租赁软硬件产品费用和配套服务工具费用测算示例B.1租赁软硬件产品费用测算基于附加率的年租费计算方式，见式B.1：R=CX(I+Nx)+D×r(B.1)式B.中：R-一年租费：D软硬件产品的价格，价格可根据央采或地方政府采购网站相关软硬件产品的价格或多个产品的平均价、中位数进行确定；N租赁年数；r一一附加率，指在租赁购置成本上，附加一项特定的附加利率，它的取值通常是纳税税率；I-一折现率，指将未来有限期预期收益折算成现值的比率。折现率的确定，应当以资产的市场利率、年限为依据，参考资产的特定环境等因素来考虑调整。其计算见式B.2：/=VcbTpv-i(B.2)式B.2中：CB-一期末金额:PV-现值:t租赁年数。实际执行过程中，可参考企业市场贷款利率等因素确定计算示例：软硬件产品价格为140万，预计可租赁年限为5年，折现率参考目前企业5年期贷款利率7%,附加率参考目前服务行业税率6%执行，年租费为：140X(1+5×0.07)÷5+140×0.06=46.2万元B.2配套服务工具日使用费用测算网络安全服务工具普遍按照5年进行折旧，按照基于附加率算法，每口工具使用费用应该为其年租费除以年工作天数，按照工具价格20万元计算，结合式B.1计算每日使用费用为：(200000×(1+5×0.07)÷5+200000X0.06)÷(12X20.83)=264元