ICS 35.030
CCS L 80
中华人民共和国国家标准
GB/T 42461—2023
信息安全技术 网络安全服务成本度量指南
Information security technology—Guidelines for cyber security service costmeasurement
2023-03-17发布
2023-10-01实施
国家市场监督管理总局
发布国家标准化管理委员会
GB/T 42461—2023
目次
前言 …………………………………………………………………………………………………………………I
1范围 ………………………………………………………………………………………………………………1
2规范性引用文件 ……………………………………………………………………………………………1
3术语和定义 …………………………………………………………………………………………………1
4 概述 ………………………………………………………………………………………………………………2
5网络安全服务成本度量 ………………………………………………………………………………………2
5.1总成本度量 …………………………………………………………………………………………………2
5.2人力成本度量 …………………………………………………………………………………………2
5.3非人力成本度量 ………………………………………………………………………………………3
5.4其他 ……………………………………………………………………………………………………4
附录 A(资料性)网络安全服务人员成本单价测算示例 …………………………………………………5
附录B(资料性)租赁软硬件产品费用和配套服务工具费用测算示例 ………………………………7
B.1租赁软硬件产品费用测算 ………………………………………………………………………………7
B.2 配套服务工具日使用费用测算 …………………………………………………………………………7
附录C(资料性)网络安全服务典型项目成本测算示例 …………………………………………………8
C.1网络安全服务项目背景 ……………………………………………………………………………………8
C.2网络安全服务需求 ……………………………………………………………………………………8
C.3人力成本测算…………………………………………………………………………………………10
C.4 非人力成本测算………………………………………………………………………………………13
C.5总成本和项目预算测算…………………………………………………………………………………13
参考文献 ……………………………………………………………………………………………………………14
GB/T 42461—2023
信息安全技术 网络安全服务成本度量指南
1 范围
本文件确立了网络安全服务成本构成，提供了网络安全服务成本度量指南。本文件中的网络安全服务成本不包含利润。
本文件适用于网络安全服务供需双方开展网络安全服务成本预算、项目招投标、项目决算以及相关合同编制等活动，其他相关方参考使用。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。
GB/T 25069—2022信息安全技术 术语GB/T 30283—2022 信息安全技术 信息安全服务 分类与代码
3 术语和定义
GB/T 25069—2022和GB/T 30283—2022界定的以及下列术语和定义适用于本文件。
3.1
网络安全服务 cyber security service
面向组织或个人的各类网络安全需求，由服务提供方按照服务协议所执行的一个网络安全过程。
注1:网络安全服务通常是基于信息安全技术、产品或管理体系的，通过外包的形式，由专业网络安全人员或组织所
提供的支持和帮助。
注2:网络安全服务通常以网络安全服务提供方和网络安全服务需求方之间的服务项目形式进行。
注3:本文件中“网络安全服务”与GB/T30283—2022中的“信息安全服务”等同使用。
[来源：GB/T 30283—2022,3.1,有修改]
3.2
服务协议 service agreement
服务需求方和服务提供方在服务开始前共同签署的约定，并在服务过程中共同遵守。
注：通常包含服务原则、服务内容、服务形式、服务级别协议、服务价格、服务交付物、服务安全要求等，在形式上可以是服务合同及其附属的工作说明书。
[来源：GB/T 30283—2022,3.4,有修改]
3.3
网络安全服务需求方 cyber security service acquirer需方
获取外部所提供的网络安全服务，以满足网络安全需求，实现自身业务目标的组织或个人。[来源：GB/T 30283—2022,3.2,有修改]
GB/T 42461—2023
3.4
网络安全服务提供方cyber security service provider供方
按照服务协议，通过专业的网络安全人员提供网络安全服务的组织或个人。[来源：GB/T 30283—2022,3.3,有修改]
3.5
服务级别协议 service level agreement
网络安全服务供方与需方之间识别服务和约定服务绩效的文件化协议。注：服务级别协议可以包含在服务协议或其他类型的文件化协议中。
4 概述
网络安全服务过程指供方根据服务协议要求开展GB/T 30283—2022规定的网络安全咨询、集成、设计与开发、安全运营、信息的安全处理和存储、测评与认证等服务及相关管理支持活动。其中：
a) 网络安全咨询、集成、安全运营、信息的安全处理和存储、测评与认证服务成本度量见第5章；
b) 网络安全设计与开发服务结合网络安全特点，参照GB/T36964—2018执行。
5 网络安全服务成本度量
5.1 总成本度量
总成本包括人力成本和非人力成本，总成本测算见公式(1)。
C=L+T
式中：
C ——网络安全服务总成本；L ——人力成本；T——非人力成本
…………………………(1)
5.2 人力成本度量
人力成本指供方用于网络安全服务过程的人力资源费用，包括：
a) 人员工资，指网络安全服务人员的工资、奖金、津贴和补贴等；
b) 社保和公积金，指网络安全服务人员的养老保险、医疗保险、失业保险、工伤保险、生育保险和公积金等；
c) 管理成本，指网络安全服务实施过程中需分摊的管理费用。
人力成本测算见公式(2)。
L=2-(P₁×Q)
…………………………(2)
式中：
L ——网络安全服务人力成本，单位为元；
P;——第i级服务人员成本单价，单位为元每人日(元/人日);
Q;——第i级服务人员总体工作量，单位为人日，总体工作量根据服务需求、服务规模和服务级别协议确定；
m ——网络安全服务人员级别数量。