信息系统商用密码应用成本测算指南.docxVIP

ICSCCS

团

35.240.01L70

体

LSZX

标准

T/LSZX0012—2025

信息系统商用密码应用成本测算指南

GuidelinesforCostEstimationofCommercialCryptographyApplicationsinInformationSystems

2025-11-14发布2025-11-14实施

丽水市质量协会发布

T/LSZX0012—2025

I

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。

请注意本文件的内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。

本文件由丽水市数据局提出并组织实施。

本文件由丽水市质量协会归口。

本文件起草单位：丽水市数据局、丽水市密码管理局、中国电信股份有限公司丽水分公司、北京海泰方圆科技股份有限公司、杭州安信检测技术有限公司、丽水市浙丽数字资源经营管理有限公司、杭州屹信信息工程咨询有限公司。

本文件主要起草人：胡春辉、施伟谊、过振奕、黄伟、江波、应春磊、夏前玉、潘成杰、王学进、张伟、肖飞、张培芬。

本文件属首次发布。

T/LSZX0012—2025

1

信息系统商用密码应用成本测算指南

1范围

本文件给出了信息系统商用密码应用成本测算的术语和定义、总体原则，并从成本构成、测算步骤、测算方法及报告等方面提出了建议。

本文件适用于信息系统中，基于密码服务平台的商用密码应用成本测算。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T25069信息安全技术术语

GB/T36964软件工程软件开发成本测算规范

GB/T39786安全技术信息系统密码应用基本要求

GB/T42461信息安全技术网络安全服务成本度量指南

GB/T43207信息安全技术信息系统密码应用设计指南

3术语和定义

GB/T36964、GB/T25069界定的以及下列术语和定义适用于本文件。

商用密码CommercialCryptography

采用特定变换的方法对不属于国家秘密的信息等进行加密保护、安全认证的技术、产品和服务。

密码应用方案CryptographyApplicationScheme

用于指导信息系统责任主体合规、正确、有效地使用密码技术,部署密码保障系统的规划。[来源：GB/T43207-2023，3.1]

4总体原则

全面性

通过系统化方式识别信息系统密码应用全生命周期各环节、各类型的成本要素。

合理性

根据需求分析，选用适宜的测算方法，对商用密码应用的各类成本进行测算。

准确性

2

T/LSZX0012—2025

基础数据来源可靠、计算过程严谨，成本测算结果能真实反映预期投入。

4.4规范性

成本测算的活动开展、流程执行及结果表达，应遵循统一规范。

5成本构成

商用密码应用成本包括商用密码应用方案费、商用密码应用安全性评估费、云密码资源使用费、商用密码设备购置费、软件开发成本。

6测算步骤

6.1需求分析

明确信息系统的业务需求和建设目标，确定信息系统商用密码应用的安全需求，包括系统部署位置、用户数量、维护开发人员数量、商用密码应用方案需求、商用密码应用安全性评估需求、商用密码设备购置需求、云密码资源使用需求、软件开发需求等。

6.2成本测算

6.2.1根据需求分析结果，选择各类成本适宜的测算方法。常见的测算方法如下：

a)类比法：参考国家或地区公布的产品指导价；

b)类推法：参考以往类似中标项目或项目合同案例中的有效价格，或通过市场询价方式确定市场行情价格；

c)方程法：建立参数模型，通过输入各项参数确定信息系统商用密码应用费用；

d)经验法：通过工作任务分解的形式，以最小工作任务内容或交付成果确定信息系统商用密码应用费用。

6.2.2采用不同的评估方法进行商用密码应用费用测算时，可选择如下方式：

a)在有类似的成功案例时，可参考成功案例进行测算；

b)利用行业基准数据对各项费用科目进行测算；

c)费用测算可采用多种方法分别开展，并通过交叉验证提升结果可靠性；若测算结果差异较大，可采用专家评审的方法确定测算结果。

6.2.3测算结果宜为一个范围值，并提供一个建议值。

6.3成本汇总