应用安全服务招标技术评分标准，权重设置和废标条款设计

一、技术评分标准设计原则

技术评分标准的设置，最怕两件事：一是评分项模糊，评委凭感觉打分；二是权重失衡，价格分压倒一切，导致劣质服务商低价中标。

根据《政府采购货物和服务招标投标管理办法》（财政部令第87号）第五十五条规定，评审因素应当细化和量化，与相应的商务条件和采购需求对应。这意味着，“优得3-5分、良得1-2分”这种写法本身就是废标雷区——评分标准必须量化到具体指标。

对于应用安全服务招标，核心设计原则有三条：

第一，资质是门槛，不是加分项。 把CCRC信息安全服务资质、ISO27001等作为资格条件，通过性审查即可，不要再放到评分里重复加分。

第二，技术能力必须现场验证。 书面承诺“具备高级加固能力”毫无意义，必须在POC环节用逆向工具实测对抗效果。

第三，案例必须同行业同规模。 不要写“合同金额500万以上得X分”，这会触碰歧视中小企业的高压线。改成“金融行业移动应用安全案例，每个得X分”，既合法又有效。

二、完整评分表模板（总分100分）

以下评分表基于多个真实招标项目的评审标准整合而成，可直接套用。

三、权重设置策略

价格分权重：建议30%-40%

根据87号令，服务类项目价格分占比不得低于10%。但应用安全服务属于智力密集型，价格分不宜过高。实操中，30%是比较平衡的设定——既能防止“天价标”，又不至于让低价劣质服务商钻空子。

技术方案权重：建议40%-50%

这是筛选核心能力的部分。需要特别注意的是，技术方案评分必须量化，不能写“方案优得5-8分”。实际操作中，可以像重庆市某项目那样，明确列出“1处瑕疵扣X分”的规则。例如：“方案内容存在1处瑕疵（如缺项、逻辑矛盾、非针对本项目等），扣3分”。

企业实力与案例：15%-20%

这里容易踩的两个坑：一是把资格条件（如CCRC证书）既作门槛又作加分项，属于重复评审；二是用“合同金额500万以上”这种规模条件，涉嫌歧视中小企业。正确做法是：资质只放门槛，案例按行业和数量评分，不设金额门槛。

团队配置：10%-15%

证书必须查重、查社保。某项目就出现过投标人用非本单位缴纳社保的人员证书投标，被直接废标的案例。

四、废标条款设计

废标条款是招标文件的“高压线”，必须写得清清楚楚，少写一条都可能被钻空子。以下是必须纳入的条款：

（一）资格性废标条款（7条）

有下列情形之一的，投标无效：

1. 投标文件未按招标文件要求加盖单位公章，或法定代表人（授权代表）未签字或盖章的。
2. 投标人未按招标文件要求提供有效的营业执照、资质证书、人员证书原件的复印件，或证书已过有效期的。
3. 拟派项目经理、核心技术人员的社保缴纳单位与投标人不一致，或未提供招标文件要求期限内的社保缴费证明的。
4. 投标人提供虚假材料投标的（包括但不限于伪造资质证书、虚假业绩合同、冒用他人人员证书），一经查实，取消投标资格，并上报监管部门。
5. 单位负责人为同一人或者存在直接控股、管理关系的不同投标人，同时参加本项目投标的。
6. 联合体投标未提交共同投标协议的（本项目不接受联合体投标时适用）。
7. 投标人被列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单的。

（二）符合性废标条款（5条）

有下列情形之一的，投标无效：

1. 投标报价超过招标文件规定的预算金额或最高限价的。
2. 同一投标人提交两个以上不同的投标方案或投标报价的（招标文件要求提交备选方案的除外）。
3. 技术方案未对招标文件实质性技术指标（如加固后崩溃率上限、应急响应时效等）作出响应，或响应内容不满足要求的。
4. 未按招标文件要求提供POC测试报告，或POC测试结论为“不通过”的。
5. 投标文件含有采购人不能接受的附加条件的。

（三）异常低价废标条款（关键条款）

参考某市公共资源交易中心的实际案例，投标报价低于最高限价50%以上，或明显低于其他通过符合性审查投标人的报价，有可能影响产品质量或不能诚信履约的，评标委员会应当要求其在评标现场合理的时间内提供书面说明，并提交必要的证明材料（如成本构成说明、服务能力证明等）。

投标人不能提供相关证明材料，或材料不能证明其报价合理性的，评标委员会应当认定其以低于成本报价竞标，作无效投标处理。

这一条款必须写进招标文件，并且要在开标现场严格执行。 某安全运维项目就因评标委员会未履行异常低价核查程序，被质疑投诉。

（四）履约阶段废标条款（1条）

中标人提供虚假材料谋取中标的（包括但不限于在中标后背调发现业绩造假、人员挂靠等），招标人有权取消其中标资格，并按照评标委员会推荐的中标候选人名单排序依次确定其他中标候选人为中标人，且保留追究其法律责任的权利。

五、实操建议

1. POC测试必须前置

在招标文件中明确：投标人须在投标截止前完成POC测试，测试项包括逆向对抗（Frida/IDA Pro hook）、兼容性（TOP10机型）、应急响应演练（模拟凌晨2点告警），测试结论作为技术评分依据。未参加POC或测试不通过的，技术方案直接判0分。

2. 资质查验要较真

人员证书必须查“中国计算机技术职业资格网”或相应发证机关官网，确认证书真实且在有效期内。社保记录通过“国家社会保险公共服务平台”核验。业绩合同要求提供发票或验收报告佐证，防止“阴阳合同”。

3. SLA必须写入合同附件

招标文件里就要附上SLA模板，明确：重大安全事件2小时人工响应、一般漏洞24小时提供修复方案、加固后崩溃率≤千分之三。未达标的赔偿机制写清楚——每延迟1小时扣减当月服务费5%，按日赔付。

4. 避免排他性表述

不要写“必须采用代码虚拟化技术”这种指定技术路线的表述，改成“具备代码级防护能力，能有效对抗静态分析和动态调试”。不要写“具有CMMI5级认证得X分”，CMMI是软件开发成熟度模型，与应用安全服务能力没有直接关联，硬放进去会被质疑为不合理的条件。