你拖后腿了吗？

免责声明

序言

这不马上国庆了吗，有一项国家标准即将实施，我是五月份第一次看到的，发布于今年3月17日，将于10月1日正式实施的 《GB/T 42461-2023 信息安全技术-网络安全服务成本度量指南》，下面我简单说一下标准里面说了些什么，想要该标准PDF的文末获取。

你的成本是多少？

这里面有你的公司吗？咱们往下看

附录A中给出了2021年各省市各级别网络安全服务人员成本单价，对号入座看看你的成本低了还是高了，你的工资有没有拖后腿？

附录C中给出一个网路安全服务成本测算示例，里面提到了不同级别安全服务人员应该满足的要求，快看看你是什么货色？

从上面我们可以看到一般的我们就可以忽略，中级以上的除了渗透测试人员重能力和成果，其他都要求3-5年工作经验，规划顾问甚至要求8年老油条。高级及以上也只有渗透测试没有证书要求，没有说你必须有CISP-PTE，但其他必须有证书。

下面这两张图呢，根本不用看，是示例项目人力成本测算，说白了就是完全按人天算钱，然后根据级别不断递增，无论什么安全服务，都按人天算钱，这也很合理，因为用一天给一天的钱嘛。

这标准它为了什么？

首先，该标准是将网络安全服务成本分为人力成本和非人力成本。人力成本就是根据人员层级再结合工资，五险一金来衡量，以及所谓的管理成本分摊，就跟你买房的公摊面积一样。非人力成本就比较杂，就是关于该项目的乱七八糟材料费，项目招标代理，设备租赁及其他付费支出。其实占大头的就是设备租赁费，比如说攻防演练要租个设备去防守，租个设备过等保啊，这都是家常便饭。具体的公式呢自己看，不要太较真，也不要太看重这个标准，毕竟只是个指南，仅供参考。

这个标准的实施其实就为了三点。第一，有这么一个标准参考，让甲方知道钱花的值不值，花在哪儿了，服务成本都有哪些组成的，让甲方和服务方能够达成共识。第二，给出一个测算办法，对预算和招投标有这么一个参考。第三，防止低价竞争，价格战在安全圈还少吗？赔钱都要干，我不说哪个厂商，自己体会。

PDF获取