成都智汇源认证服务有限公司

CCRC资质证书能作为评审因素吗?

罗老师    2023-06-15 12:32:27    1685次浏览

不少信息化采购项目将“CCRC信息安全服务资质证书”(以下简称CCRC资质证书)设为评审因素。那么,CCRC资质证书是什么?认证必备条件有哪些?是否可以设为评审因素?针对上述问题,政府采购信息报记者进行了采访。

CCRC资质证书作评分项投诉成立

今年7月,某单位采用公开招标方式开展应急指挥信息系统建设项目,预算金额近800万元,采购内容包括以日常准备和应急业务为基础,融合通讯调度、模型集成、EGIS等关键核心技术的服务。投标人B公司认为,该项目招标文件中将CCRC资质证书作为评分项,构成对中小企业的歧视,于是向采购人提出了质疑,B公司因对质疑答复不满,又向当地财政部门提起投诉。

10月中旬,当地财政部门发布投诉处理结果公告,认定上述投诉事项成立,责令采购人重新开展采购活动。

记者查阅该项目招标文件了解到,评标标准中规定,投标人具备有效的CCRC-信息安全服务资质(信息系统安全集成)认证证书得2分,具备CCRC-信息安全服务资质(信息安全风险评估)认证证书得2分,具备CCRC-信息安全服务资质(软件安全开发)认证证书的得3分。

记者从该采购人处获悉,该项目已于11月中旬完成重新采购,招标文件中删除了CCRC资质证书相关的评审因素。正福易找标大数据统计显示,今年1月至今,共有65个采购项目发布更正公告,均对CCRC资质证书评审因素进行删除,并重新调整评审因素及权重。

信息安全服务资质认证含规模条件

据中国网络安全审查技术与认证中心(以下简称网安中心)体系与服务认证部工作人员介绍,CCRC为该中心英文缩写,信息安全服务资质是该中心核心认证业务之一。按照该中心2021年公布的新版《信息安全服务规范》,开展包括信息系统安全集成、软件安全开发等8类信息安全服务资质认证,各类认证分为一级、二级和三级,其中一级,三级。

不同等级认证的基础条件和专业评价均不相同。上述网安中心工作人员介绍,8类资质认证在基础条件方面,三级要求企业成立满半年,有相关安全项目1个及以上;二级要求企业成立满三年或三级证书满一年,有相关安全项目6个及以上;一级则要求有10个及以上相关安全项目,并要求企业取得含信息安全服务内容的ISO20000或ISO27001体系认证。同时,各级认证还要求单位负责人在信息技术领域拥有2年至4年不等的企业管理经历。

“信息安全服务资质通常是企业自愿申请,我们按相关标准要求实施审核,对符合标准要求的颁发认证证书,并在证书3年有效期内实施持续监督。”网安中心工作人员介绍,单项资质认证收费标准以市场调节价作为参考,费用包括申请、审核、注册、年金等。

“作为参与实施政府采购节能产品认证机构之一,我们不建议采购人在评审因素中对供应商提出此类资质认证的要求,除非它对整个项目建设实施和履约能力起到了关键性或决定性作用。”网安中心上述工作人员表示。

信息安全服务资质认证不应作为评分项

“CCRC信息安全服务资质认证并非强制性认证,将其作为评审因素显然不合适。”政府采购评审专家、北京市北斗鼎铭律师事务所律师公为良认为,该认证对注册资本、资产总额以及人员规模等有明确要求,违背了促进中小企业发展的相关政府采购政策。

《政府采购促进中小企业发展管理办法》(财库〔2020〕46号)第五条规定:采购人在政府采购活动中应当合理确定采购项目的采购需求,不得以企业注册资本、资产总额、营业收入、从业人员、利润、纳税额等规模条件和财务指标作为供应商的资格要求或者评审因素。

在上述案例中,应急指挥信息系统在安全保密、及时通讯稳定性、数据信息研判等方面有极高要求。“从技术实施层面来说,投标人所提供的拟投项目演示方案,或许才是评判技术服务能力的有效方式。”公为良律师表示。

长期关注数字政府建设问题的北京市社会科学院研究员王鹏告诉记者,中小企业的创新能力和技术特点并不体现在资质认证方面,即使采购项目是一个系统性工程,供应商也需要产业链上下游协同完成平台项目建设。

顶象技术业务安全市场负责人宋文利也认为,信息安全服务资质认证并不是企业技术服务能力的硬实力展现。供需双方应从实际出发,不要把中小企业挡在门外,也不要一味地去追求与项目无关的资质认证。

店铺已到期,升级请联系 15923987592
联系我们一键拨号13608089100