信息安全技术 网络安全服务成本度量指南 目 次前言 II 1 范围 3 2 规范性引用文件 3 3 术语和定义 3 4 概述 4 5 网络安全服务成本度量 4 5.1 总成本度量 4 5.2 人力成本度量 4 5.3 非人力成本度量 5 附录 A(资料性) 网络安全服务人员成本单价测算示例 6 附录 B(资料性) 租赁软硬件产品费用和配套服务工具费用测算示例 8 参考文献 9 I 信息安全技术 网络安全服务成本度量指南1 范围本文件给出了网络安全服务成本构成,提供了网络安全服务成本度量指南本文件中的网络安全服务成本不包含利润 本文件适用于网络安全服务供需双方开展网络安全服务成本预算、项目招投标、项目决算以及相关合同编制等活动,其他相关方可参考使用 2 规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中,注日期的引用文件, 仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件 GB/T 25069 信息安全技术 术语 GB/T 30283—XXXX 信息安全技术 信息安全服务 分类与代码GB/T 36964—2018 软件工程 软件开发成本度量规范 3 术语和定义GB/T 25069和GB/T 30283—XXXX界定的以及下列术语和定义适用于本文件。
网络安全服务 cyber security service面向组织或个人的各类网络安全需求,由服务提供方按照服务协议所执行的一个网络安全过程 注1:网络安全服务通常是基于信息安全技术、产品或管理体系的,通过外包的形式,由专业网络安全人员或组织所提供的支持和帮助 注2:网络安全服务通常以网络安全服务提供方和网络安全服务需求方之间的服务项目形式进行注3:本文件中“网络安全服务”与GB/T 30283—XXXX中的“信息安全服务”等同使用 [来源:GB/T 30283—XXXX,3.1,有修改] 服务协议 service agreement服务需求方和服务提供方在服务开始前共同签署的约定,并在服务过程中共同遵守 注:通常应包含服务原则、服务内容、服务形式、服务级别协议、服务价格、服务交付物、服务安全要求等,在形 式上可以是服务合同及其附属的工作说明书 [来源:GB/T 30283—XXXX,3.4,有修改] 网络安全服务需求方 cyber security service acquirer需方获取外部所提供的网络安全服务,以满足网络安全需求,实现自身业务目标的组织或个人 [来源:GB/T 30283—XXXX,3.2,有修改] 10 网络安全服务提供方 cyber security service provider供方按照服务协议,通过专业的网络安全人员提供网络安全服务的组织或个人。
[来源:GB/T 30283—XXXX,3.3,有修改] 服务级别协议 service level agreement SLA网络安全服务供方与需方之间识别服务和约定服务绩效的文件化协议 注:服务级别协议可以包含在服务协议或其它类型的文件化协议中 4 概述网络安全服务过程指供方根据服务协议要求开展GB/T 30283—XXXX中规定的网络安全咨询、集成、设计与开发、安全运营、信息的安全处理和存储、测评与认证等服务及相关管理支持活动其中: a) 网络安全咨询、安全运营、信息的安全处理和存储服务成本度量见第 5 章; b) 网络安全工程监理服务、网络安全集成服务成本度量参照国家主管部门、行业主管部门和地方主管部门等相关要求执行; c) 网络安全测评和认证服务按照相关行业主管部门确定的认证收费标准执行; d) 网络安全设计与开发服务结合网络安全特点,参照 GB/T 36964—2018 执行 5 网络安全服务成本度量 总成本度量总成本包括人力成本和非人力成本,测算见公式(1): 𝐶 = L + 𝑇 (1) 式中: C——网络安全服务总成本; L——人力成本; T——非人力成本。
AA 人力成本度量人力成本指供方用于网络安全服务过程的人力资源费用,包括: a) 人员工资,指网络安全服务人员的工资、奖金、津贴和补贴等; b) 社会保险金,指网络安全服务人员的养老保险、医疗保险、失业保险、工伤保险、生育保险和公积金等; c) 管理成本,指网络安全服务实施过程中需分摊的管理费用人力成本测算见公式(2): L = ∑𝑚𝑖=1�(𝑃𝑖 × 𝑄𝑖) ··································································· (2) 式中:L——网络安全服务人力成本,其单位为元; 𝑃𝑖——第i级服务人员成本单价,其单位为元/人日; 𝑄𝑖——第i级服务人员总体工作量,其单位为人日,总体工作量根据服务需求、服务规模和服务级别协议确定; m——网络安全服务人员级别数量 各级别人员成本单价测算见公式(3): 𝑃𝑖 = 𝑆 × 𝐾𝑖 × (1 + 𝐻)································································ (3) 式中:𝑃𝑖——第i级服务人员成本单价,其单位为元/人日; S——人员日平均工资,其单位为元/人日,可参考国家统计局公布的各省市上一年信息传输、软件 和信息技术服务业年平均工资,以及行业或属地发布的网络安全从业人员平均工资,并按照日进行折算; 𝐾𝑖——服务人员级别调整系数,表1给出了4个网络安全服务人员级别调整系数取值范围; 表1 网络安全服务人员级别调整系数服务人员级别 调整系数 取值范围 专家/资深 𝐾1 4~5 高级 𝐾2 2.5~4 中级 𝐾3 1.25~2.5 一般 𝐾4 1~1.25 备注:服务人员级别根据服务类型不同,可参考工作经验、工作年限、职业证书、学历等依据进行划分。
H——人力成本调整系数,包含社会保险金和管理成本,该系数建议取值范围为 0.5~1附录A给出了网络安全服务人员成本单价测算示例 非人力成本度量非人力成本测算见公式(4): 𝑇 = 𝐸 + � + 𝐵 ········································································ (4) 式中:T——非人力成本,其单位为元; E——设备费,其单位为元; M——材料费,其单位为元; B——业务费,其单位为元 非人力成本各项内容组成如下: a) 设备费包括供方根据需方网络安全服务需求而采购的专用资产、租赁软硬件产品或者配套服务工具的费用测算方法如下: 1) 专用资产采购费用根据采购目录价格或者市场报价进行计算; 2) 租赁软硬件产品费用可使用设备折旧算法、等额本金算法或基于附加率的年租费算法进行计算,附录 B.1 给出了基于附加率的设备年租费的算法示例; 3) 配套服务工具可按照使用天数进行计算,附录 B.2 给出了配套服务工具日使用费测算示例 b) 材料费包括服务过程中使用光纤、网线、办公用品耗材、印刷等相关费用; c) 业务费包括差旅费、会议费以及供方为完成网络安全服务过程所需辅助活动产生的费用,如招标代理费、评审费、验收费、第三方测试费等。
附 录 A(资料性)网络安全服务人员成本单价测算示例参考国家统计局发布的2020年各省市信息传输、软件和信息技术服务业平均工资,2021年各省市各级别网络安全服务人员成本综合单价测算如下:a) 网络安全服务人员日平均工资(S)为年平均工资除以年工作天数,其中每月工作天数取值为20.83,计算公式见式(A.1); 人员日平均工资 = 年平均工资 ÷ (12 × 20.83) (A.1) 注:依据《关于职工全年月平均工作时间和工资折算问题的通知》(劳社部发〔2008〕3号),每月工作天数为20.83 b) 网络安全服务人员级别调整系数(𝐾𝑖)按照表 1 中最高值进行测算,𝐾4为 1.25,𝐾3为 2.5,𝐾2为 4,𝐾1为 5;c) 人力成本调整系数(H)取值为 0.7;d) 综上计算得出 2021 年各省市各级别网络安全服务人员成本单价(𝑃𝑖)值,见表 A.1表 A.1 2021 年各省市各级别网络安全服务人员成本单价单位:元/人日 省市 年平均工资 日平均工资(I) 一般(𝑃4) 中级(𝑃3) 高级(𝑃2) 专家/资深(𝑃1) 北京市 259729 1039 1299 2598 4156 5195 天津市 146977 588 735 1470 2352 2940 河北省 100220 401 501 1002 1604 2005 山西省 90594 362 453 906 1450 1812 内蒙古自治区 104563 418 523 1046 1673 2092 辽宁省 113412 454 567 1134 1815 2269 吉林省 81754 327 409 818 1308 1635 黑龙江省 80673 323 403 807 1291 1614 上海市 270619 1083 1353 2707 4331 5413 江苏省 162939 652 815 1630 2607 3259 浙江省 235430 942 1177 2355 3767 4709 安徽省 101715 407 509 1017 1628 2035 福建省 131811 527 659 1318 2109 2637 江西省 95779 383 479 958 1533 1916 山东省 105284 421 527 1053 1685 2106 河南省 83900 336 420 839 1343 1678 湖北省 114162 457 571 1142 1827 2284 湖南省 107317 429 537 1073 1717 2147 广东省 193。