GB_T 42461-2023 信息安全技术 网络安全服务成本度量指南.docx

《GB_T 42461-2023 信息安全技术 网络安全服务成本度量指南.docx》由会员分享，可在线阅读，更多相关《GB_T 42461-2023 信息安全技术 网络安全服务成本度量指南.docx（15页珍藏版）》请在课桌文档上搜索。

1、IcS35.03(1CCS1.80GB中华人民共和国国家标准GB/T424612023信息安全技术网络安全服务成本度量指南Informationsecuritytechno1.ogyGuide1.inesforcybersecurityservicecostmeasurement2023f3-17发布国家市场监督管理总局发布国家标准化管理委员会友布目次前言I1范困12规范性引用文件I3术语和定义I4柢述25网络安全服务成本度盘25.1 总成本度量25.2 人力成本度%25.3 非人力成本度量35.4 其他4附录A（资料性）网络安全服务人员成本单价测切示例5附录B（资料性）租赁软硬件产品费用和配

2、套服务工具戏用测算示例78.1 租赁软硬件产品费用测算78.2 配套服务工具日使用费用浏第7附录C（资料性）网络安全服务典型项目成本测算示例8C.1网络安全服务项日背景8C.2网络安全服务需求8C.3人力成本测算IOC.4非人力成本测尊13C.5总成本和项目预算测尊13参考文融14本文件按照GBTI.I-2O2O标准化工作导则第1部分：标准化文件的结构和起草规则的规定起草e请注恚本文件的某些内容可能涉及专利.本文件的发布机构不承担识别专利的责任.本文件由全国信息安全标准化技术委员会(SAoTC260)提出并归口。本文件起草单位：北京赛西科技发展有限责任公司、北京安信天行科技有限公司、中国电了利

3、技网络信息安全有限公司、北京江南天安科技有限公司、上海观安信息技术股份有限公司、奇安信科技集团股份有限公司、中国信息安全测评中心、中国网络安全审查技术与认证中心、安天科技集团股份有限公司、中电长城网际系统应用有限公司、公安部第二研究所、上海三库卫士信息安全有限公司、杭州迪普科技股份有限公司、国网新疆电力有限公司电力科学研究院、北京天融信网络安全技术有限公司、中国长江三峡集团有限公司、深信服科技股份有限公司、华数数字电视传媒柒团有限公司、有岛民航凯亚系统集成有限公司、中国移动通信有限公司研究院、北京神州绿图科技有限公司。本文件主要起草人：许心队陈杼民、陈冠直、刈装品、安锦程、张铁铮、谢江、Ef氟

4、利母烧、尤其、宋李李、贾非、王颦茹、张宇、周梦妍、张春明、张送、黄长春、陈长松、干露、张淋、刘占林,方昂锋、何哙、马力、张静、张润时、叶翔、i)三s刘青、杨凯、陈晶，信息安全技术网珞安全服务成本度指南1范B1.本文件确立了网络安全服务成本均成，提供了网络安全服务成本度最指南，本文件中的网络安全服务成本不包含利制.本文件适用于网络安全服务供需双方开展网络安全服务成本预算、项目招投标、项目决算以及相关合同编制等活动，其他相关方参考使用.2规范性引用文件下列文件中的内容通过文中的规莅性引用而构成本文件必不可少的条款。其中，注I期的引用文件，仅该11期时应的版本适用于本文件：不注11期的引用文件，其他

5、新依本（包括所有的修改单）适用于本文件.GBZT250692022信息安全技术术语GB-T302832022信史安全技术信息安全服务分类与代码3*WRUtXGB.T250692022和GB,T302832022界定的以及下列术语和定义适用于本文件。3.1网络安全B1.务cybersecurityservice面向组织或个人的各类网络安全需求，由服务提供方按照服务力议所执行的一个网络安全过程，注1：网格安全服务通常是基于佰息安全技术、产品或管理体系的,通过外包的形式，由专Ikm安全人员或组织所提供的支持和用助。注2小蟋安全服务通常以I*梯安全服务提供方和k螺安全股务需求方之间的用务项目形式进行注

6、3：本文件中“网络安全服务IKBTMO-中的“信息安全服务”等同使用.【来源：GBT302832022.3.1.有修改3.2服务协议serviceagreement服务需求方和服务提供方在服务开始前共同签咨的约定，并在服务过程中共同遵守.注：通常包含服务原虬服务内容.服务形出取微别协议、服务价格、联务交付机服务则浮在形式上可以J三加利及MW脚HJ工作说明书，来源：GB3028-20223.4.有修改3.3网络安全JR务需求方cybersecurityserviceacquirer需方获取外部所提供的网络安全服务，以满足网络安全需求，实现自身业务目标的组织城个人，来源：GBT3028320223

7、2.有修改3.4网络安全服务提供方CybCrMXUri1.yserviceP1.wider供方按照限务协议，通过专业的网络安全人仍提供肉络安全眼务的组税或个人。来源：GBT302832022,33有修改3.5.服务级别协议service1.eve1.agrvcmcu网络安全眼务供方与需方之间识别眼务和约定服务绩效的文件化协议”注：服分级粕协议可以包含在服务协议或具他类型的文件化办议中.4概述网络安全服务过程指供方根据服务协议要求开展GBrT302832022规定的网络安全咨询、集成、设计与开发、安全运营、信息的安全处理和存偌、测评与认证等服务及相关管理支持活动。其中：a）网络安全咨询、弊成、安

8、全运营、信息的安全处理和存储、测评与认证服务成本度玳见笫5章；b）网络安全设计与开发服务结合网络安全特点,参照GB,T%42018执行.5网络安全服务成本度量5.1 总成本度量总成本包括人力成本和非人力成本,总成本刈算见公式（1）“C=1.+T式中：C网络安全服务总成本：1.人力成本：T非人力成本。5.2 人力成本度量人力成本指供方用于网络安全服务过程的人力资源费用，包括：a）人员工资,指网络安全服务人员的工资、奖金、津贴和补贴等：b）社保和公积金.指网络安全服务人员的养老保险、医疗保隐、失业保险、工伤保险、生育保险和公枳金等：C）管理成本,指网络安全微务实施过程中需分捶的管理费用.人力成本测

9、算见公式（2）.I.V（Q1.式中：1.网络安全服务人力成本，单位为元：P.一第i级留芬人员成本单价单位为元每人H（元/人H;Q：一第i级IM芬人员总体工作贵.单位为人H,总体匚作证根据极芬需求、服务规模和眼务级别协议确定：m网络安全服务人员徼别数量.各级别人员成本单价以人员工资为基数，设附人力成本调整系数将社保、公枳佥和管理成本纳入计算，各级别人员成本唯价测算见公式（3）.P.=SK.（I+H（3式中:P.第i级服务人员成本单价，单位为元每人11（元/人11）;S人员日平均工资，单位为元每人日（元/人日）,可参考国家统计局公布的各省市上一年信息传猿、软件和信息技术服务业年平均工资，以及行业或

10、属地发布的网络安全从业人员平均工资，并按照日进行折蚱；K.一服务人员级别调整系数,表1给出了4个网络安全服务人员级别词整系数取值范围：表1网络安全服务人员级别调整系数服务人员领别科整案敢rmH专家/资深Ki4-5高级2.5-4中级KJ1.25-25一1K1-1.25注：里分人员彼别根据里务类里不同，可参考工作经检、工作年供、。!业证书,学历等依据避6叨分，H人力成本调整系数，包含社保、公枳金和管理成本，该系数建议取值范围为0.51。附录A给出了网络安全聚务人员成本单价测算示例。53非人力成本度量非人力成本指供方用于网络安全服务过程的人力成本之外的其他成本。a）设备费,包括供方根据需方网络安全服

11、务需求而采购的专用资产、租赁较便件产品或者配套服务工具的费用.测算方法如下：1）专用资产采的费用根据采的目录价格或者市场报价进行计算：2）租赁软硬件产品费用可使用设备折旧算法、等额本金算法或基于附加率的年租费算法进行计眸，附录B中B.I给出了塞于附加率的设备年租费的算法示例；3）配套服务工具班用可按照使用天数进行计算,B.2给出了配套服务工具日使用费测算示例.b）材料戏，包括服务过程中使用光纤、网线、办公用品耗材以及印刷等相关费用.C）业务费，包括差旅费.会议费以及供方为完成网络安全版务过程所需辅助活动产生的费用，如招标代理也、评审费、验收费、第三方测试费等，非人力成本测算见公式（4）.T-E

12、WB式中：T一非人力成本，单位为元：E设备费.单位为元:M材料费，单位为元:B业务费.单位为元.84其他方在进行网络安全服务成本度量时，可结合服务内容的经杂度、词位角色需求、服务所采用的现场或远程服务形式等情况,测算人力成本和非人力成本，最终得出总成本.附录C给出了网络安全服务典型项目成本测尊示例，WA网密安全量务人员成本单价海真示例参考国家统计局发布的2020年各省市信息传谕、软件和信息技术服务业平均工资.2021年各省市各缎别网络安全服务人员成本媒合单价测算如Ma)网络安全服务人员日平均工资(三)为年平均工资(AS)除以年工作天数，其中年月工作天数取值为20.83,计算公式见式(AJXS=

13、AS(1220.83)(A.I)注：依据E关卜职工全年月平均工作时向和工资折斯，威的通触05杜部发(2008)3劭每月工作天数为30.83.b)同络安全服务人员找别调整系数(K;)按照表1中Ai诲值迸行测算，K4取1.25,Km取2.5.K2取4,K1取5;c)人力成本调整系数（三）IkO.7：山堤上计算得出2021年各省市各娘别网络安全服务人员成本单价(P;)值，见表A.1。A.1.2021年鲁市售fit则网络安全JR务人员虞本单价仔巾年平均I：资元日平均工资元各级别网络安全服务人员成本单价元/人口Itt(Pi)中级(P力高级(Pz)专家/货深(Pj北京市259729103922084416

14、70668832天津市1169775881250249939984998河北省100220401852170427263108山西省9059136277015.1021653081内蒙古自治区10456341888917782845三6辽宁省113412454964192830853857吉林行81754327695139022242780黑龙江省80673323686137221952743上海市27061910832301160173629203江苏省1629396521385277041335511淅江省235430942200140036405Soo6安数省10171540786517

15、2927673159福建省1318115271121224135864482江西省95779383811162926063257山东省10528442189517902864S580河南省83900336713142722822853湖北省114162457971IM1.31063882湖南省107317429912182529193649广东省1938677761648329652716593A.1.2021年备曹市备毁别网安全厦务人员原本单价：续）省市年平均工侨元日平均工贵元各被别附格安全服务人员成本电价元/人日一般（PJ中中（PJ高级（Pz）专家/贵那UM广西壮族自治区101642407

16、864172827653456海山省1463125851244248839814976响庆市1372765491167233437351668四川省1288915161096219135064383贵州省1116351179191898303?3796云南省105098423899179728753594西敏门治区142827571121124283f三俩7映西向160OCe6401361272243545443甘京皙850M340723144623132892密海帘1255315021067213434154269宁夏回族自治区1219714881037207433184148新强维吾尔自治

17、区（含建设兵团）1084434922184429503687附录B(资料性)租赁软耀件产品费用和配套服务工具费用测算示例B.I租赁软硬件产品赛用测算基于附加率的年租费计算兄式(B1.).R=DX(I+NI)N+Dr(BI)式中：R年租费：D软硬件产品价格，可根据央采或地方政府采购网站相关软硬件产品的价格或向多个厂商询价后计算产品的平均价、中位数进行确定:N租赁年数：r附加率，指在租赁购置成本上附加一项特定的冏加利率，取值通常为纳税税率；I折现率，指将未来彳i限期预期收益折算成现做的比率。折现率可以资产的市场利率、年限为依据，参考资产的特定环境等因素来考虑调用.其计算见式(B.2。I=VCBPV

18、-1(B.2)式中：CB期末金额：PV现他：N租赁年数.实际执行过程中.可参考企业市场贷款利率等因素确定.计匏示例：软现件产品价格为MO万元，预计可租赁年限为5年，折现率参考目前企业5年期贷款利率%附加率参考目前限务行业税率6%,年租费为：H0(1.+50.07)5+1400.06=46.2万元B.2纪套服务工具日使用费用测算网络安全服务工具杵明按照5年进行折旧，按照基于附加率算法，国日工具使用费用为其年租费除以年工作天数，按照工具价格20万元计算，结合式(B.1)计售旭日使用应用为：200000(1.50.07)5+2000000.06(1220.83)=264元（2HMD网格安全务典SKI

19、目成梯H示例c.RMfr安全务91目背景某单位计划采购网络安全服务.在预算阶段褥要对网络安全服务的成本进行度盘.测算项目预算，为后期招标标的设置提供参考。C.2网院安全服务本次网络安全服芬需求包括网络安全咨询服芬、网络安全运营服芬、信息的安全处理和存储服芬大类.N络安全服务规模、网络安全服分内容和网络安全服务级别协议要求如下.a）网络安全服务规模服务器和主机共300台,网络与安全设备200台.应用系统55个，其中已上畿系统中二.徼系统8个、二级系统15个.未定级系统5个.未上线系统中三级系统7个、二级系统10个、未定级系统10个；55个应用系统中包含网站应用30个、移动应用程序（ApP）25个

20、。b）网络安全服务内容需求网络安全咨询眼务类包括采购网络安全培训和网络安全测试评估服务.网络安全培训服务要求计对网络安全政策、网络安全技术发展前沿和网络安全基础技术：方面，开展不少于5次、人员规模不低于50人的培训，网络安全测试评估册务内容足基于整体眼务规模，要求供方应提供包括不少于2名一般人员和2名中级工程师在内的评估团队，仲对已上规的系统，每个三级系统傩年提供不少于2次风险评估测试，黜个：娘系统昨年提供不少于1次风险评估测试,未定级系统每年提供至少1次风险评估测试.未上线系统中.上线入网前应对1：线发布版木开展渗透测试、源代码审计工作：制分上践系统中，每次新功能发布前应对恃上线部分开展渗透

21、测试、源代码审计工作.网络安全运营限务类包括采购网络安全监测、网络安全检行、网络安全分析、恶意代码防范和处理、网络安全应急响应、网络安全演练、脚络安全加固和网络安全审计服务,各服务内容儒求如下.D网络安全监测服务：基于整体服务规模,供方应提供不少于2名一般人员实脩现场驻场照务，以保障安全监测服务有效开展。监测人员可通过工具及人工方式对全网安全状态进行检测、分析，并提出优化建议,应持续地对信息系统各个层面的安全进行告警分析和监控,提供月度监测分析报告.在巡检过程中出现的事件可以通过人工方式进行告警,也可以通过安全管理平台进行告警处理.配置安全产品告警规则.对监测到的安全事件按照不同的级别和类型产

22、生不同告警，并将告警信息发送到安全音理平台，通过配置和使用安全管理平台，对各种安全产品产生的安全5件通过邮件、弹出宿口等方式通知运M人协。2）网络安全检杳服务：供方应针对已上线系统开展网络安全检杳工作，包括但不限于资产盘点、基线核查眼务、漏洵扫描服务等.3）网络安全分析眼务：聪于整体服务规模，对己上线系统开展网络安全分析工作,供方应至少分配2名一般人员（可用）和2名高缎工程师（可复用）利用城胁情报数据和呆集到的安全大数据进行分析，提供对内部失陷主机、外部攻击、内部违规和内部风险等关键信息安全问题的周期性的检测、发现和响应服务.供方可依据需方提供的镜像流fit和其他信息或自行采蝴勺数据,包括分析

23、日志、流量性能、漏洞等,识别出各类型网洛攻击、安全戚胁等，井以月位周期提出解决建议或措施.全年度应包含12次月度工作报告.4）恶意代码防范和处理服务：供方应基于整体围务规模，结合需方网络环境,能物实现对内外网流量分别快速识别、i己录、分类和处理，分析恶意代码行为，井开展防范和处理工作。5）网络安全应急响应服务：在需方涉及IT资产范用内所发生的安全事件，开展（?业的应急响应工作,并提交相应的应急材*1.以提高需方的应急处置和响应能力.6）网络安全演练服务：供方应结合整体服务规模所涉及的资产酒唯，结合需方网络环境,开展不少于2次的网络安全演练服芬.供方应在安全演练工作中，明确组织架构,编制演练计划

24、.包括演练规模、形式、时间、地点等，制定雌的工作方案、保阳方案、评出1方案等，按照演练规划和方案执行安全演练.7）网络安全加冏限务：供方应根据在检测强务、分析服分过程中所发现的向Sfi进行脆弱性的识别和验证,提出安全加固建议,结合需方信息化建设情况.指导需方完成加固操作,物证安全加固工作成果,确保加固生效.供方提供的网络安全加固极务.应包括现场支持和远程支持两种方式.8）网络安全审计服务：供方通过文件审物、记录检连.技术测试、现场访谈等手段,荻得审计证据，并对需方进行客观的泮价，形成审计报告,确定被审计对象满足审计依据的程度，帮助需方全面了解和掌握其信息安全工作的有效性、充分性和适宜性。信息的

25、安全处埋和存储服务包括果明同络安全租赁服务，租赁内杵是为支撑网络安全咨沏照务和网络安全运营服务，包括态势感知系统1套，态势JS知探针2台,温扫设备使用18天,基设核杳设备使用1年。使用期间供方所提供的设备资产为供方所有，数据为三方所有。c）网洛安全i芬级别协议I）响应时效要求服分期内，供方需成立专门的技术队伍，按需方要求对安全技术问胭进行解答.供方语提供7X24h热线电话响应服务，详细要求见火C1.C.I务时效量求*响段前应远程服务到达现场（按商）工作日5nin10min30min年工作日ISnin1h2h役同30nin1h2h2）人员要求供方诲提供参与本项目的工作实施方案和工作人员详细名单及

26、项11组织结构，井附上项目人员简历和相关证明材料,不同级别网络安全服务人员要求见C.2.衰2不同锻制网络安全服务人员要来服务人员依别项目角色姿求规联质问工作年Rb8年（含）以上网络安全工作Q於%格证书,具各制痣被以上职称.或看某个领域的专家学历复求，本和及以上学步培训I侪州工作年RI1.5年（含）以上网络安全工作经验Iftf某个触域的专家,或行儿各2年以上资质证书培训经蛉WCjRs本科及以上学历高能成肺分析人员工作年以：5年（含以上网络安全工作四段受格证书；C1.SPSE证书，或2年以上攻防演饭熨Itt灶学历要求：本科及以上学历EC2不同皴别网修安全展务人员晏求（续）服务人员彼加项目角色要求高

27、级项目经理r作年取，5年（含）以上M络安全工作经验项H经验：5个以上同骅规模的网络安全BR务项目案例费格证尼备伯息系统项11管理伸证H或PW、CISPif.H学历要求I本科及以上学历H志分析人员项目运验：3个以上类似M好安全案务项目姓脑r作年取：3年以上网络安全服务项H经验职业证书：CispsXcisaw淮透测试人员工作经验：1年（含）以上网络安全工作经验I：作成果：获得过2次网络安仝人衣：等攵以上.或5个以上CNNvDCNYD洞提交证明应急响应人员项目经验：5个以上类似M格安全服务项目是破工作邠限：5年以上网络安全服务项HS职业证书：CISP如SAw中拨网络安全检佞人员项目经验：3个以上类似

28、网络安仝朦务项目经验工作年限:3价：以上网络安全服务项目经验网络安全加固人员项1.1.经验，3个以上类似网络安全服务项目经S1.作年限：3年以上网将安全服务项目经验-Ift网络安全监测朦务驻场人员工作年RI：1年以上网络安全服务项目经验所报项目团队成员T1.确定，不得报自更改，驻场安全服务应在需方现场开展，其他限务可根据实际情况，米用JW石、远程等方式提供.供方必须保证其项目组人员严格按照工作实施方案执行。3项目实施周期要求I1.服务期为1年，项目应至少祖织初裟和终验两次专家评审，评审合格后进行也收，4）项目实施地点北京市。5）技术支持与售后服务要求供方应针对本项目提供详细的技术支持及售后服分

29、方案，包括服务方/3响应时间、服务拣战等。C.3人力W翼依据网络安全极务规模、网络安全服务内容和珅络安全服务级别协议,对毋项服务的内容进行洋细拆分，并根据所设定的人员级别评估海项服务所需的工时。测算时，针对具体网络安全服务类别中不同娘别服务人员工作量测算.可充分利用基准数据，可来用方程法、类比法或类推法，对工作鬓进行测算，在需求极其模糊或不确定时，可采用类比法或类推法，直接粗略冽曾工作J上对于有明确工期要求的服务项目，在枭用方程法测算工作班时，宜考虑工期紫迫度对工作价本身和投入造成的影响，有可能导致重新测算工作量项目实施地为北京,不同级别人员人H费用按照表A.I中2021年北京市网络安全服务人

30、员成本单价计算，直接人力成本测豫为各个级别服务人员人力成本的总和，共计5024584元。详细测算方法见表C3.注：网络安全检查.僧络安全分析、心意KAI财范和处理、网络安全应急病应和幽安全审计服务如U驻场H1.程支外成员,故康再更计算.未在表C3中列出.IOC.3人力成本算序号服务类型服务名称幽口顶预估工时/（人H）人员成本单价八元/人H）费用/元股中汲离级专家中级高级专求1网络安全注词安全培训网络安全政策52208441670668832441602网络安全技术发展的沿82208441670668832706563网络安全基咄技术102208441670668832706604合计10132

31、2084416706688321854765风险评估三级系统评估28222208441670661996016二级系统评估3535222084416706688322459727未定级系统评估232322084416706688321523528琼介双险分析5112208441670668832379789安全建议5222208M1.67066S8325387610报告解析31220844167066您22031-111合计869983220844167066883271009612澹透测试Web蒯试55555220844167066883239965013APPift测25251220844

32、167066您2172666H上线检测27271220844167066883218591415基规核查IO22084416706688322208016报告解读55122084416706688326624217合计117112121220844167066883284655218代码审计Veb审计565220844167066883228262619APP审计505220844167066883225613020审计报告5522084416706688325741021合计0I1.1.1502208441670668832596166*C.3人力成本那算（续）序号服务类型服务名歆测口顶预估

33、工时/（人H）人员成本通价/（元/人口）费用/元一股中级ifii专*一股中Sa专京22安全运芭M络安全监测驻场监测5002208H1670668832UOI(X)O23远程支持25SO220844167066883246370024合计500255002208441670668832156770025网络安全法练演涿海法33222084416706688323100126演糠规划33122084416706688324327827演族彩排10101322084*1t7066883215fi09828演涿实他101013220844167066883215809829演涿保障IO10132208

34、川670668832Isfto9830演炼评估总结33222084416706688325211031合计3339173220844167066883260微妗52网络安全加尚脆的性识别102220844167066883236212S3施弱件治证202208me7066883288320S4加固试验202052208441670668832167810新加国方案形成32208M1670668832556-1136加固实施与指导202022208441670668832)50M437加的成果收证1010322084416706688328743838合计加73162220844167066883258556总计7961591482222084416706688325024584424612023软件工程软件开发成本度量规范信息技术眼务服务级别协议指南(1GBT329112016软件测试成本度依规范2GBT369M2018(3SJ7T1169120174关于职工全年月平均工作时间和工资折算问施的通知?(劳社都发(2008)3号)