防火墙公司与项目公司（一个证书导致的2500多万防火墙项目废标）

最近的一个大单被废标引起业界的关注。

项目名称：应急管理大数据工程及自然灾害监测预警信息化工程应急管理部建设部分安全体系建设包1采购项目

2022年5月17号发布中标结果，主要标的物为华为防火墙。

地址：http://www.ccgp.gov.cn/cggg/zygg/zbgg/202205/t20220517_17923301.htm

2022年6月7日发布中标结果更正公告。

地址：http://www.ccgp.gov.cn/cggg/zygg/gzgg/202206/t20220607_18031015.htm

内容是：“经评审委员会复核，原中标人在其投标文件中未提供有效的核心防火墙和接入防火墙信息安全产品认证证书，不满足招标文件投标人须知前附表第24条的实质性要求，投标被拒绝。”

本项目因为没有提供信息安全产品认证证书导致的废标。那么问题来了，信息安全产品认证是强制性的吗？答案是肯定的。我们来梳理一下法律依据。

1.国家质检总局 国家认监委2008年第7号公告《关于部分信息安全产品实施强制性认证的公告》要求：自2009年5月1日起，凡列入本强制性认证目录内的信息安全产品，未获得强制性产品认证证书和未加施中国强制性认证标志的，不得出厂、销售、进口或在其他经营活动中使用。并公告了第一批信息安全产品强制性认证目录。其中包括防火墙、网络安全隔离卡与线路选择器、安全隔离与信息交换产品、安全路由器 、智能卡COS、数据备份与恢复产品、安全操作系统、安全数据库系统、反垃圾邮件产品、入侵检测系统、网络脆弱性扫描产品、安全审计产品、网站恢复产品等。地址http://www.cnca.gov.cn/zl/qzxcprz/mlmsyjd/202007/t20200715_59748.shtml

2.国家质量监督检验检疫总局、财政部、国家认证认可监督管理委员会公告2009年第33号――关于调整信息安全产品强制性认证实施要求的公告。内容：国家质量监督检验检疫总局、国家认证认可监督管理委员会2008年第7号公告中涉及的信息安全产品强制性认证的强制实施时间延至2010年5月1日，在政府采购法规定的范围内强制实施。并发布了信息安全产品强制性认证实施规则（共13份）

大家注意一点：按法律规定信息安全产品认证从2010年5月1号开始，是在政府采购法规定的范围内强制实施。

如何判断某个安全产品是否具有信息安全产品认证证书呢？

我们回到刚才的话题。华为防火墙型号是：USG12004-F，官方查询地址：

https://www.isccc.gov.cn/zxyw/cprz/cprzzscx/index.shtml

点击下面：国家信息安全产品认证证书查询

打开地址为：https://p.isccc.gov.cn/CertSearch.aspx?ptype=2

选择制造商 输入 华为。查询结果并没有USG12004-F。具备有效证书的防火墙如图：

本项目变更以后第二名中标，第二名投的是华三的防火墙：

我们继续查询：https://p.isccc.gov.cn/CertSearch.aspx?ptype=2

制造商选 华三：结果如下

查询结果和投标产品完全符合。

通过这个案例，大家不要忽略了信息安全产品认证这个证书。认证范围为：防火墙、网络安全隔离卡与线路选择器、安全隔离与信息交换产品、安全路由器 、智能卡COS、数据备份与恢复产品、安全操作系统、安全数据库系统、反垃圾邮件产品、入侵检测系统、网络脆弱性扫描产品、安全审计产品、网站恢复产品等。以上产品在政府采购投标的时候一定要有信息安全产品认证证书，否则被质疑投诉会引起不必要的麻烦。