当前位置:首页 > 投诉处理
[2022-07-27]
一、项目编号:JXTC2022-JX-C008
二、项目名称:江西省赣南医学院采购态势感知、探针和终端威胁检测杀毒软件
三、相关当事人
投诉人:江西盛豪工贸有限公司
地址:江西省抚州市南城县株良镇古竹村黄家山
被投诉人1:江西省机电设备招标有限公司
地址: 赣州市章江新区梅州路6号富地中心5#楼三层
被投诉人2: 赣南医学院
地址: 江西省赣州市和谐大道1号
相关当事人:江西省海博信息科技有限公司
地址:江西省赣州市章贡区橙乡大道28号嘉福.金融中心一期写字楼504办公室
四、基本情况
赣南医学院委托江西省机电设备招标有限公司代理江西省赣南医学院采购态势感知、探针和终端威胁检测杀毒软件等项目(项目编号: JXTC2022-JX-C008),该项目采购方式为竞争性磋商招标,采购公告于2022年5月21日发布,于2022年6月2日开展评审活动,采购结果公告于2022年6月8日发布。投诉人依法对采购文件提出质疑,并对质疑答复不满意,于2022年6月15日向本机关提起投诉。本机关审查后依法受理,并向被投诉人、相关当事人发送“政府采购投诉答复通知书”。目前,该项目采购活动已公告采购结果未签订采购合同并依法暂停。
投诉人称:
(一)针对代理机构回复质疑事项1“已做修改,详见变更公告。”,我方不能接受招标代理方相应回复,招标文件中还是存在大量的指定无关本次招标的证书专利品牌型号,并且指定美国国防部证书专利品牌型号;严重违反政府采购法。此次招标为采购国产产品,技术文件加分项指定美国国防部证书专利,招标文件用美国国防部证书专利来佐证国产产品,严重侵害潜在投标人的投标权利。
(二)针对代理机构回复质疑事项2“评审内容中并没有包含:专利证书、商标、品牌、供应商或特定产品。1.中国信安全测评中心为国家权威机构,流行病毒检测力体现的产品技术能力,供应商应满足条款要求。2.为确保杀毒软件对病毒查杀的有效性,检测能力是必须的。以上2点所需要的证书和功能均体现产品供应商和产品的技术能力,而且作为加分项,并没有限制其他企业投标。”我方不能接受招标代理方相应回复,我司认为技术评分加分项终端杀毒软件管理平台指定用无关证书专利控标锁标。
(三)针对代理机构回复质疑事项3“评审内容中并没有包含:专利证书、商标、品牌、供应商或特定产品。1.针对日益严峻的网络安全态势,人员安全素质的提升必不可少,针对项目后期和运营和培训需要专业的团队进行技术支撑。2.需国家相应机构认可的证明其资质能力。3.需国家相应机构认可的证明其资质能力。以上3点所需要的证书和功能均体现产品供应商和产品的技术能力,而且作为加分项,并没有限制其他企业投标。”我方不能接受招标代理方相应回复,我司认为技术评分加分项态势感知指定用无关证书专利控标锁标。
(四)针对代理机构回复质疑事项4“评审内容中并没有包含:专利证书、商标、品牌、供应商或特定产品。1.需国家相应机构认可的证明其资质能力。2.中国信息安全测评中心和CNAS或者CMA的证书和报告均为国家权威机构颁发,可证明其资质能力。以上2点所需要的证书和功能均体现产品供应商和产品的技术能力,而且作为加分项,并没有限制其他企业投标。”我方不能接受招标代理方相应回复,我司认为技术评分加分项流量探针,指定用无关证书专利控标锁标。
(五)针对代理机构回复质疑事项5“评审内容中并没有包含:专利证书、商标、品牌、供应商或特定产品。1.为了确保供应商具备安全服务能力,需具备中国网络安全审查技术与认证中心颁发的相应资质证书;2.为了确保技术服务人员具备安全服务能力,应具备有中国信息安全测评中心颁发的相应资质证书。以上2点体现了公司和服务人员的专业性。评审依据没有违反政府采购法。”我方不能接受招标代理方相应回复,商务评分30分,用指定证书专利作为评审依据违反政府采购法。
被投诉人1称:
(一)经与采购人沟通确认,我司于2022年6月1日对江西盛豪工贸有限公司就此问题的质疑已进行答复,并对有指向国外证书专利部分作了修改,删除了国外证书的要求。修改后的评分标准如下:
终端电脑端杀毒软件 1、为保证产品服务至少符合信息安全服务资质风险评估二级(计划跟踪级)要求,产品制造厂商需具备中国信息安全测评中心颁发的风险评估二级及以上资质认证(最高级为风险评估五级),全部满足得3分。
评审依据:响应文件中提供上述相关证书复印件加盖制造厂商公章。 0分 3分
2、为确保特征库的有效性、及时性和全面性,保证安全厂商的技术漏洞挖掘能力,承诺满足的得3分,未提供不得分。
评审依据:响应文件中提供相关承诺函,承诺软件具备能力成熟度及稳定性。 0分 3分
3、为确保产品的稳定可靠,具备强大的应急响应能力,在使用过程中不会给业务系统带来安全风险,承诺满足的得3分,未提供不得分。
评审依据:响应文件中提供相关承诺函,承诺软件具备必须的应急响应能力。 0分 3分
(二)经与采购人沟通确认,采购人对提出此评分条款的解释为:“评审内容中并没有包含:专利证书、商标、品牌、供应商或特定产品。1.中国信安全测评中心为国家权威机构,流行病毒检测力体现的产品技术能力,供应商应满足条款要求。2.为确保杀毒软件对病毒查杀的有效性,检测能力是必须的。以上2点所需要的证书和功能均体现产品供应商和产品的技术能力,而且作为加分项,并没有限制其他企业投标,因此本项质疑事项不成立。另依据《中华人民共和国政府采购法》中第二十三条规定‘采购人可以要求参加政府采购的供应商提供有关资质证明文件和业绩情况,并根据本法规定的供应商条件和采购项目对供应商的特定要求,对供应商的资格进行审查’。”
根据采购人的解释,以上评审内容并非与终端杀毒软件管理平台无关。我司按采购人的意见于2022年6月1日对江西盛豪工贸有限公司就此问题的质疑已进行答复。
(三)经与采购人沟通确认,采购人对提出此评分条款的解释为:“评审内容中并没有包含:专利证书、商标、品牌、供应商或特定产品。1.针对日益严峻的网络安全态势,人员安全素质的提升必不可少,针对项目后期和运营和培训需要专业的团队进行技术支撑。2.需国家相应机构认可的证明其资质能力。3.需国家相应机构认可的证明其资质能力。以上3点所需要的证书和功能均体现产品供应商和产品的技术能力,而且作为加分项,并没有限制其他企业投标,因此本项质疑事项不成立。另依据《中华人民共和国政府采购法》中第二十三条规定‘采购人可以要求参加政府采购的供应商提供有关资质证明文件和业绩情况,并根据本法规定的供应商条件和采购项目对供应商的特定要求,对供应商的资格进行审查’。”
根据采购人的解释,以上评审内容并非与态势感知无关。我司按采购人的意见于2022年6月1日对江西盛豪工贸有限公司就此问题的质疑已进行答复。
经查看参与本次采购活动的各供应商得分情况,并非只有一家供应商有国家版权局颁布的软件著作权证书,不能证明态势感知的加分项是用于控标锁标。
(四)经与采购人沟通确认,采购人对提出此评分条款的解释为:“评审内容中并没有包含:专利证书、商标、品牌、供应商或特定产品。1.需国家相应机构认可的证明其资质能力。2.中国信息安全测评中心和CNAS或者CMA的证书和报告均为国家权威机构颁发,可证明其资质能力。以上2点所需要的证书和功能均体现产品供应商和产品的技术能力,而且作为加分项,并没有限制其他企业投标,因此本项质疑事项不成立。另依据《中华人民共和国政府采购法》中第二十三条规定‘采购人可以要求参加政府采购的供应商提供有关资质证明文件和业绩情况,并根据本法规定的供应商条件和采购项目对供应商的特定要求,对供应商的资格进行审查’。”
根据采购人的解释,以上评审内容并非与流量探针无关。我司按采购人的意见于2022年6月1日对江西盛豪工贸有限公司就此问题的质疑已进行答复。
经查看各供应商得分情况,证书的评分项并非只有一家供应商满足,不能证明流量探针的加分项是用于控标锁标。
(五)经与采购人沟通确认,采购人对提出此评分条款的解释为:“评审内容中并没有包含:专利证书、商标、品牌、供应商或特定产品。1.为了确保供应商具备安全服务能力,需具备中国网络安全审查技术与认证中心颁发的相应资质证书;2.为了确保技术服务人员具备安全服务能力,应具备有中国信息安全测评中心颁发的相应资质证书。以上2点体现了公司和服务人员的专业性。评审依据没有违反政府采购法,因此本项质疑事项不成立。另依据《中华人民共和国政府采购法》中第二十三条规定‘采购人可以要求参加政府采购的供应商提供有关资质证明文件和业绩情况,并根据本法规定的供应商条件和采购项目对供应商的特定要求,对供应商的资格进行审查’。”
我司按采购人的意见于2022年6月1日对江西盛豪工贸有限公司就此问题的质疑已进行答复。
被投诉人2称:
(一)经查,实际招标中对CMMI证书要求已进行了变更,仅要求出具软件成熟稳定的承诺函。
(二)经查,国家信息安全测评信息技术产品安全测评EAL3+级认证(http:/www.itsec.gov.cn)系中国信息安全测评中心(经中央批准成立的国家信息安全权威测评机构)对信息技术产品的资质认证,不是专利证书。且学校对软件产品的技术有要求,属于合理的基础加分项。
(三)经查,中国信息安全测评中心的安全运营类认证、中国合格评定国家认可委员会的检验检测报告、国家版权局颁布的软件著作权资质证书,均不属于专利证书的范围。且学校对软件产品的技术有要求,属于合理的基础加分项。
(四)经查,中国信息安全测评中心出具的安全工程类证书、中国合格评定国家认可委员会的检验检测报告,均不属于专利证书的范围。且学校对软件产品的技术有要求,属于合理的基础加分项。
(五)经查,《中华人民共和国政府采购法》中第二十三条规定“采购人可以要求参加政府采购的供应商提供有关资质证明文件和业绩情况,并根据本法规定的供应商条件和采购项目对供应商的特定要求,对供应商的资格进行审查”。文件中对响应供应商及人员的资质要求,属于我校的合理合法需求,应得到保护。
相关当事人称:
(一)1、针对证书有指向性问题,CMMI证书并非在国只有特定厂商拥有,在证书机构的网站上http:/www.cmmirz.com/可以查到拥有此证书的产品企业数不胜数。其次CMMI认证的全称是:软件能力成熟度认证,是特指企业在软件开发过程中的管理能力,并非指某个产品的功能专利。加分项列举此证书可以体现企业具备国外先进软件开发管理能力,并非特指产品本身采用了国外的技术。
2、我司在2022年6月8日14点30分机电开标文件中并未看见有CMMI相关技术文件加分项指定美国国防部证书专利。我司在投标文件中也没有所谓的CMMT证书。
(二)国家信息安全测评信息技术产品安全测评EAL3+级认证(http://www.itsec.gov.cn/cp/cpgg/201412/t20141205_14835.html),中国信息安全测评中心是经中央批准成立的国家信息安全权威测评机构,主要职能包括:为信息技术安全性提供测评服务;信息安全漏洞分析和信息安全风险评估:信息技术产品、信息系统和工程安全测试与评估;信息安全服务和信息安全人员资质测评;信息安全技术咨询、工程监理与开发服务等。
证书是采用GB/T 18336-2008的国家检测标准对产品的自身安全性进行的测评认证。其次作为终端杀毒软件,要求对流行病毒的检测能力也是对产品自身所具备的能力提出加分要求,两条加分项都为了提升产品的可靠性和稳定性。并非无关项目。
另外国家信息安全测评中心针对此类产品所颁发的证书也并非唯一厂商拥有。如果投诉方投诉此加分项是控标锁标行为,应提出事实依据。
(三)态势感知平台产品本身是需要对平台中所展现的风险事件进行安全研判,因为任何安全产品都会有一定的误报率。所以要求产品厂商在产品维保期间对安全风险事件具备安全运营和维护能力,并且对风险事件的研判能力提升方面要求对用户进行能力提升的培训。对培训人员提出了专业性的要求。并非是无关项目。另外安全运营认证是由国家信息安全测评中心颁发的国家权威证书,(http://www.itsec.gov.cn/fwzz/fsqsxz/202105/t20210531_62718.html)ISC2china官方售前培训等认证也并非唯一厂商具备。
(四)由于安全监测类产品存在误报率的问题,要求在产品维保期间的安全服务能力提出了相应的要求,并且加分项所要求的证书也是由国家权威机构所颁发的证书,并非专利。
产品的功能性加分项,是需要产品在运维过程中,运维人员可以实时的对产品的基本信息内容进行查看,防止系统宕机、软件版本过期。并非无关项目。CNAS或CMA的监测报告也并非专利报告证书。如果投诉方投诉此加分项是控标锁标行为,应提出事实依据并且针对国家权威机构所颁发的证书,投诉方故意歪曲事实说越是专利证书的无端投诉行为。
(五)商务条款中所特指的安全服务类响应供应商证书,是对服务类响应供应商的基础要求,人员资质是针对产品维保过程中对安全服务人员资质提出的要求,是保障产品运行、保障产品维保品质的基础要求,且证书均为中国信息安全测评中心所颁发的认证证书http:/www.itsec.gov.cn/。
《中华人民共和国政府采购法》第二十三条明确规定采购人可以要求参加政府采购的供应商提供有关资质证明文件和业绩情况,并根据本法规定的供应商条件和采购项目对供应商的特定要求,对供应商的资格进行审查。何来用指定证书专利作为评审依据违反政府采购法?
五、处理依据及结果
经调查:
投诉人所称投诉事项一的问题,主要是此次招标为采购国产产品,技术文件加分项指定美国国防部证书专利,招标文件用美国国防部证书专利来佐证国产产品,严重侵害潜在投标人的投标权利。经查,投诉人质疑、投诉的终端电脑杀毒软件的评分标准已在变更公告中作了变更,该投诉内容已消灭。投诉人的投诉事项缺乏事实依据,投诉事项不成立。
投诉人所称投诉事项二、投诉事项三、投诉事项四的问题,主要是技术评分加分项指定用无关证书专利控标锁标。经查,磋商文件的采购需求中态势感知平台要求支持重点威胁、漏洞对资产的影响分析等,流量探针要求支持工控漏洞攻击、车联网漏洞攻击、物联网漏洞攻击等,终端电脑杀毒软件要求支持终端防卸载、防退出等功能和管理。评审标准中对终端杀毒软件、态势感知、流量探针分别要求产品、制造厂商获得中国信息安全测评中心颁发的国家信息测评信息产品安全测评认证证书、及具备相关软件著作权资质证书,该三项评审因素的设定与产品质量相关联,符合项目采购特点与实际需求,无明显倾向性。投诉人的投诉事项缺乏事实依据,投诉事项不成立。
投诉人所称投诉事项五的问题,主要是商务评分30分,用指定证书专利作为评审依据违反政府采购法。经查,商务评分中的人员评分要求供应商具有中国信息安全测评中心颁发的注册信息安全专业人员(CISP)-注册信息安全管理人员(CISO)、注册信息安全工程师(CISE)、大数据分析师、CCRC网络安全应急响应工程师证书;售后服务要求具有信息安全保障人员认证证书(CISAW)-安全运维(专业级)、风险管理(专业级)。采购人需求中的质量保证和售后服务要求对于设备可以进行培训工作,方便采购人掌握各项功能和及时维护。评审因素要求供应商具有上述资质、证书的人员,与商务需求的特点和实际不相适应,属《中华人民共和国政府采购法实施条例》第二十条第八项规定的违法情形。投诉人的投诉事项成立。
综上所述,投诉人的投诉事项一、二、三、四不成立,投诉事项五成立。
上述事实依据有采购文件、投标文件及相关答复材料等为证,法律依据为《中华人民共和国政府采购法》、《中华人民共和国政府采购法实施条例》、《政府采购非招标采购方式管理办法 》(财政部令第74号)、《政府采购质疑和投诉办法》(财政部令第94号)等相关法律法规。
六、其他补充事宜
根据《政府采购质疑和投诉办法》(财政部令第94号)第三十一条第一项的规定,重新开展采购活动。
如对上述处理决定不服,可在收到本决定书起60日内向中华人民共和国财政部或江西省人民政府提起行政复议或六个月内向南昌铁路运输法院提起行政诉讼。
江西省财政厅
2022年7月27日