本頁目錄
一、費(fèi)用公式
二、收費(fèi)基數(shù)
三、調(diào)節(jié)因子
等級(jí)保護(hù)測(cè)評(píng)是指測(cè)評(píng)機(jī)構(gòu)依據(jù)國家信息安全等級(jí)保護(hù)制度規(guī)定,按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)對(duì)未涉及國家秘密的信息系統(tǒng)安全保護(hù)狀況進(jìn)行分等級(jí)測(cè)試評(píng)估的活動(dòng)。
為規(guī)范等級(jí)保護(hù)測(cè)評(píng)項(xiàng)目收費(fèi),建立公平、公正、有序、競(jìng)爭(zhēng)的測(cè)評(píng)市場(chǎng)環(huán)境,按照《信息安全測(cè)評(píng)聯(lián)盟自律公約》要求,特制定本文件。
本文件所指信息系統(tǒng)是通用信息系統(tǒng)。
一、費(fèi)用公式
F=A×B
費(fèi)用(F)取自于收費(fèi)基數(shù)(A)和調(diào)節(jié)因子(B),費(fèi)用(F)四舍五入到千為單位。
二、收費(fèi)基數(shù)
按照信息安全等級(jí)保護(hù)測(cè)評(píng)工作要求,充分體現(xiàn)滲透測(cè)試、風(fēng)險(xiǎn)評(píng)估、定量分析等工作的技術(shù)價(jià)值。同時(shí)考慮三級(jí)和四級(jí)系統(tǒng)的測(cè)評(píng)廣度和深度的逐級(jí)增強(qiáng),取值相應(yīng)增加,制定信息系統(tǒng)等級(jí)測(cè)評(píng)的指導(dǎo)性收費(fèi)基數(shù)(四舍五入到萬):
收費(fèi)基數(shù)(A)=測(cè)評(píng)指標(biāo)項(xiàng)數(shù)量*單項(xiàng)收費(fèi)標(biāo)準(zhǔn)
各省收費(fèi)基數(shù)(A)計(jì)算表各不一致,可以參考《各省市自治區(qū)等級(jí)測(cè)評(píng)項(xiàng)目收費(fèi)基數(shù)(A)計(jì)算表》。
等級(jí)測(cè)評(píng)機(jī)構(gòu)異地開展等級(jí)測(cè)評(píng)活動(dòng),原則上按被測(cè)評(píng)信息系統(tǒng)(非跨區(qū)域)所在地確定的收費(fèi)基數(shù)進(jìn)行收費(fèi)計(jì)算。
三、調(diào)節(jié)因子
設(shè)定一個(gè)調(diào)節(jié)因子(B),調(diào)節(jié)內(nèi)容主要考慮影響測(cè)評(píng)工作量較大的幾個(gè)要素,包括系統(tǒng)規(guī)模(B1)、多系統(tǒng)測(cè)評(píng)(B2)、重復(fù)測(cè)評(píng)(B3):
B=B1×B2×B3
-
系統(tǒng)規(guī)模(B1),以信息系統(tǒng)所包含的全部實(shí)際系統(tǒng)組件為依據(jù),調(diào)節(jié)因子的選擇主要體現(xiàn)在承載業(yè)務(wù)應(yīng)用和數(shù)據(jù)的服務(wù)器主機(jī)設(shè)備數(shù)量上,對(duì)采用虛擬化服務(wù)器技術(shù)的,以虛擬主機(jī)臺(tái)數(shù)為依據(jù);對(duì)于承擔(dān)安全運(yùn)維管理等服務(wù)器(如防病毒服務(wù)器、審計(jì)服務(wù)器等)不作為B1的取值依據(jù)。
B1的取值,根據(jù)服務(wù)器主機(jī)臺(tái)數(shù)按如下分段取值:
- 5臺(tái)以下:B1=0.8~0.9;
- 6~19臺(tái):B1=0.9~1.0;
- 20~49臺(tái):B1=1.0~1.2;
- 50~100臺(tái):B1=1.2~1.5;
- 100~200臺(tái):B1=1.5~2;
- 200臺(tái)以上:B1≥2。
主機(jī)服務(wù)器臺(tái)數(shù)可以從信息系統(tǒng)定級(jí)報(bào)告和備案表獲得,且要求在報(bào)價(jià)前獲知,比如:可以要求在招標(biāo)文件技術(shù)需求中明確。
針對(duì)純網(wǎng)絡(luò)系統(tǒng)B1取值:二級(jí)B1=0.8,三級(jí)B1=0.9,四級(jí)B1=1。
-
多系統(tǒng)測(cè)評(píng)(B2),本調(diào)節(jié)因子適用于同一單位多個(gè)相同等級(jí)或不同等級(jí)信息系統(tǒng)同時(shí)測(cè)評(píng)的情況。
B2的取值,根據(jù)同時(shí)測(cè)評(píng)的信息系統(tǒng)數(shù)量按以下分段取值:
- 2-5個(gè)系統(tǒng)同時(shí)測(cè)評(píng)的信息系統(tǒng):B2≥0.9;
- 6-10 個(gè)系統(tǒng)同時(shí)測(cè)評(píng)的信息系統(tǒng):B2≥0.8;
- 11-50個(gè)系統(tǒng)同時(shí)測(cè)評(píng)的信息系統(tǒng):B2≥0.7;
- 51-100個(gè)系統(tǒng)同時(shí)測(cè)評(píng)的信息系統(tǒng):B2≥0.5;
- 100個(gè)以上系統(tǒng)同時(shí)測(cè)評(píng)的信息系統(tǒng):B2≥0.3。
-
重復(fù)測(cè)評(píng)(B3),由同一家測(cè)評(píng)機(jī)構(gòu)對(duì)未做重大變更的同一信息系統(tǒng)進(jìn)行再次測(cè)評(píng)時(shí)測(cè)評(píng)工作量相對(duì)減少,測(cè)評(píng)費(fèi)用相應(yīng)減少。
B3的取值:≥0.8。
重復(fù)測(cè)評(píng)以同一測(cè)評(píng)機(jī)構(gòu)首次測(cè)評(píng)費(fèi)用為基準(zhǔn)。
各機(jī)構(gòu)根據(jù)測(cè)評(píng)系統(tǒng)的實(shí)際情況綜合考慮以上三個(gè)因素選取計(jì)算調(diào)節(jié)因子取值。 調(diào)節(jié)因子取值原則:系統(tǒng)規(guī)模(B1)、多系統(tǒng)測(cè)評(píng)(B2)、重復(fù)測(cè)評(píng)(B3)的取值不得低于各要素分段取值的下限值。