《政府采购信息》报记者梳理采购文件发现，在IT采购项目中，尤其是与信息化相关的项目，其资格条件要求企业同时提供信息安全管理体系认证证书（ISO27001）和信息技术服务体系认证证书（ISO20000）（以下简称“两体系认证”）已成为标配。

例如，在“某部门网络安全咨询服务项目”中，资格条件中要求“投标人应同时具备ISO27001信息安全管理体系认证证书、具备ISO20000信息技术服务管理体系认证证书。”在“某部门云平台建设招标采购项目”中，同样将“两体系认证”设置为投标人的资格要求。

“两体系认证”是IT供应商在参与政府采购项目时必须提供的吗？是否可以作为资格条件？

要求成立满三个月 限制企业规模

在涉及信息安全的政府采购项目中，如信息化建设项目、政务系统运维服务项目，将“两体系认证”设置为资格条件的现象普遍存在。

何为“两体系认证”？“两体系认证”包括信息安全管理体系认证证书（ISO27001）和信息技术服务体系认证证书（ISO20000），均是由国际标准化组织（ISO）实施的管理标准，分别用来衡量企业的信息安全管理水平和IT服务、运营管理水平。

记者通过“国家认证认可监督管理委员会”网站查询，全国可以提供“两体系认证”的认证机构一共95家。记者咨询部分认证机构发现，企业若要认证此类证书，必须成立满三个月。

根据《政府采购促进中小企业发展办法》(财库〔2020〕46号)第五条的规定，采购人不得在企业股权结构、经营年限等方面对中小企业实行差别待遇或者歧视待遇。因此，如果要求投标人提供“两体系认证”才能参加政府采购活动，则会构成对中小企业的差别待遇。

关于此类证书是否可以作为资格条件，财政部国库司在对网友的回复中也表示：“主要从以下几个方面进行考虑：一是相关证书是否在国务院取消的执业资格许可和认定事项目录内；二是相关证书申请条件中有无对企业的注册资金、营业收入等业绩规模作出限制；三是相关证书是否与采购项目的特殊要求存在关联性等。”

非强制性要求 不可列为资格条件

“这类证书一般是协会或者第三方机构颁发的，不是行政许可范围内的，一般不作为资格要求。”成都众望云商招标代理有限公司总经理谷骏在接受记者采访时说。

记者了解到，很多地方已经将此类管理体系认证列入政府采购负面清单。例如，福建省财政厅明确将质量管理体系认证证书（ISO9001）、环境管理体系认证证书（ISO14001）、职业健康管理体系认证证书（IS045001）、欧盟认证或境外单一国家的认证证书等列为强制性禁止条款。广州市明确禁止将“非国家有关职能机构强制性的资质、资格，认证范围等规定作为资格条件”。此外，宁夏回族自治区、广东省佛山市政府采购负面清单中均有类似规定。

“这类证书属于企业自愿申请的、非强制性的商业认证证书，不得作为资格条件。”评审专家王其光向记者介绍，为了保证政府采购的产品符合信息安全要求，《关于信息安全产品实施政府采购的通知》（财库[2010]48号）中明确规定，在政府采购活动中，采购人或代理机构应当在采购文件中载明对产品获得信息安全认证的要求，并要求产品供应商提供由中国信息安全认证中心按国家标准认证颁发的有效认证证书，但信息安全认证证书与“两体系认证”不是一回事，后者不是强制性要求。

​