功能正在努力建设中
知道了
作者:李响 来源:中国政府采购报
近年来,随着国内外一系列信息安全事件频发,我国对网络安全的重视程度不断提高。2009年,国家质检总局印发了《关于调整信息安全产品强制性认证实施要求的公告》,要求8类13种信息安全产品进入政府采购前必须实行强制性认证。2010年,财政部等多部委联合发布了《关于信息安全产品实施政府采购的通知》,要求自2010年5月1日起,防火墙、安全路由器、安全数据库系统等13种产品须在《政府采购法》规定的范围内实行强制性认证,未获得强制性认证证书以及未加施中国强制性认证标志的产品,不得进入政府采购领域。
一方面是国家对信息安全产品采购的高度重视,另一方面,则是采购实践中出现的种种新问题、新情况。以天津市政府采购中心为例,目前,采购中心在采购信息化安全产品项目过程中,普遍出现了由于投标人所投产品型号与其提供的中国国家信息安全产品认证证书中的型号不一致,导致不满足招标文件实质性资格要求而废标的情况。
笔者认为,造成信息安全产品采购项目废标的原因主要集中在以下方面。
一是政府采购政策宣传不到位,导致政府采购当事人对有关规定缺乏了解。
采购人在制定采购需求的过程中,往往通过项目立项、市场调研、专家论证、制定方案等才能确定最终的采购需求。然而,由于对相关政策缺乏了解,采购人在进行相关设备选型时,很有可能未按照政府采购政策执行。当采购中心项目经办人与采购人进行需求沟通,并要求强制性安全产品须具备相关认证时,采购人表示,自己前期不了解政策要求,目前的设备选型并未参考强制性安全认证,若调整设备参数,可能会对整体项目造成影响。采购人甚至还会反问项目经办人,政府采购有此类相关政策要求,为何不提前告知?这就需要我们进一步加强政府采购政策规定的宣传、推广,让采购人了解、掌握相关政策。采购人也应提高责任主体意识,主动学习、熟悉相关政策规定。
二是检测机构与设备厂商缺乏沟通,导致评审现场无法准确判断型号是否一致。
笔者对几个类似项目的评审结果进行分析发现,信息安全产品与国家信息安全产品认证证书不对应的情况,主要分为两种。一种情况是系列产品无法判断。例如,某公司所投安全产品为A型号,但证书上的型号是系列型号,且证书中也未明确型号中包含系列。产品厂商解释称,在申请认证时是按照系列产品进行认证的,如认证通过,则代表全系列产品均通过认证。另一种情况则是软件系统经过认证,硬件产品则未经过认证。例如,某公司所投安全产品为硬件产品,但其国家信息安全产品认证证书上的型号是软件型号。对此,产品厂商解释称,所投硬件产品中的使用软件经过了认证,所以使用该软件的全部硬件产品也均通过了认证。
就上述两种情形,采购中心项目经办人与发证机关的有关负责人进行了沟通。该负责人回应称,国家信息安全产品认证证书上的设备型号应与产品厂商送检的设备型号一致。检测证书只对应产品,不对应系列,证书型号必须与产品型号一致。
可见,此类问题往往是由于检测机构和厂家就认证内容、认证范围等理解不一致所致,给政府采购评审环节带来了困扰。针对这类情况,项目经办人应加强与有关部门的沟通、协调,主动“借力”,及时消除政府采购当事人对政策理解的偏差,还应努力学习积累,提升自身业务能力,为采购人、供应商提供更为专业的解决对策。(李响 天津市政府采购中心)
请关注相关链接内是否有更正公告