央国企软件采购的合规要求（6 大维度 + 三方协作要点）

央企、国企软件采购对测评报告与资质有比商业企业严格得多的合规要求——招标文件常常明确要求「具备 CMA + CNAS 双重资质的第三方机构出具的、依据 GB/T 25000.51-2016 的软件产品测试报告」，并需在中央企业商业秘密管理、网络安全等级保护 2.0、国产化替代等多重维度满足要求。新亿诚通过为央国企体系内多类单位提供软件测评服务的经验，本文系统梳理央国企软件采购的 6 大合规维度与「采购方—供应商—测评机构」三方协作要点。

央国企软件采购的特殊性

央国企不同于一般商业采购，其软件采购同时受三类约束：

• 《中央企业商业秘密管理规定》（国资委 2012 年第 7 号令）——涉密软件必须做信息安全测试
• 《关键信息基础设施安全保护条例》——电网、电信、金融等央企的核心系统必须做等保三级及以上
• 《政府采购法》+ 财政部采购监管要求——预算金额超过 200 万元须公开招标

这种「三重监管」直接体现在招投标文件中：技术要求页面通常会列出 5–8 项资质门槛与报告要求。

6 大合规维度

1. 软件产品质量测试报告

这是央国企招标最常见的强制项。要求：

• 测评依据：GB/T 25000.51-2016（必须带年份）
• 测评机构：具备 CMA + CNAS 双重资质
• 测试维度：功能性、性能效率、易用性、可靠性、信息安全性、维护性、兼容性、可移植性、用户文档集 9 大维度全覆盖
• 报告时效：通常要求出具时间在 12 个月以内

2. 网络安全等级保护测评报告

依据 GB/T 22239-2019，央国企软件多为等保三级及以上：

• 电网、电信、金融核心系统 → 等保三级或四级
• 政企内部办公系统 → 等保二级或三级
• 关键信息基础设施 → 关键信息基础设施安全保护测评（在等保基础上增加专项要求）

3. 信息安全测试报告

专项测试，独立于等保测评，重点包括：

• 渗透测试（OWASP Top 10、CVE 已知漏洞扫描）
• 源代码安全审计（SAST + DAST）
• 数据安全测试（加密强度、敏感信息脱敏）
• 商密合规测试（涉密系统须使用国密 SM2/SM3/SM4 算法）

4. 性能与压力测试报告

大型央国企系统并发量动辄 10 万 +，性能测试报告必备指标：

• 峰值并发用户数（CCU）
• 每秒事务处理数（TPS）
• 平均响应时间（≤ 3 秒为优）
• 系统可用性（SLA：99.9% 起步，金融系统要求 99.99%）
• 资源利用率（CPU/内存/IO/网络）

5. 国产化替代与适配测试

「2027 年央企信创全替代」目标驱动下，软件需提供：

• 国产 CPU 适配证明（鲲鹏、飞腾、龙芯、海光、兆芯）
• 国产操作系统适配证明（统信 UOS、麒麟）
• 国产数据库适配证明（达梦、人大金仓、神通、GaussDB、OceanBase）
• 国产中间件适配证明（东方通、宝兰德、金蝶 Apusic）

6. 用户文档完备性审计

GB/T 25000.51-2016 的 9 大维度之一，独立于其他 8 项。要求用户手册、安装手册、运维手册、应急预案 4 类文档齐全且与软件功能一致。

「采购方—供应商—测评机构」三方协作建议

采购方（央国企甲方）

• 在招标文件中明确列出测评报告类型、依据标准（带年份）、有效期、机构资质要求
• 设置合理评标权重：测评报告齐全度建议 ≥ 15 分
• 避免「保证通过」「快速出报告」等承诺导向，应强调技术能力

供应商（软件商）

• 项目启动初期同步与测评机构对接，预留 4–8 周测评周期
• 提前完成代码自查、性能压测、安全扫描，减少正式测评中的反复
• 测评报告要点同步给项目经理，应对评标答疑

测评机构（第三方）

• 需具备覆盖客户行业的测评能力范围（电信、电力、金融、铁路、邮政等）
• 报告须包含详细的测试方法、用例数量、缺陷统计，避免「合格证」式简化报告
• 必要时配合甲方做现场答疑、专家评审

新亿诚的央国企服务能力

新亿诚累计为以下央国企体系单位提供测评服务：

• 电信运营商：中国电信、中国移动、中国联通省级公司及合作伙伴
• 能源电力：国家电网、南方电网下属省级公司、电力科研院
• 交通基建：中国铁建、中国铁路、中交建集团
• 金融保险：四大行省级分行、保险集团子公司
• 邮政物流：中国邮政、中邮速递
• 军工科研：航天科技、航天科工、中航工业下属研究所

需要为央国企招投标提供测评报告？欢迎咨询 软件招投标测试服务，新亿诚 3–5 天出报告、全国通用、CMA + CNAS 双重资质。

常见问题

不同央企对报告的具体要求差异大吗？

整体框架一致，但细节差异较大。例如国家电网偏重信息安全测试 + 等保三级，中国电信偏重性能压测 + 国产化适配，中国铁建偏重功能完备性 + 用户文档。建议拿到招标文件后逐条对照技术评分项。

测评报告有效期一般多久？

通常 12 个月。但软件经过重大版本升级、架构调整后，原报告对新版本不再有效，需要重新测评。

央企子公司能否复用集团测评报告？

视情况而定。如果集团报告中已明确涵盖子公司部署环境、用户量、业务范围，可以复用；否则需要做"附加测评"或重新测评。

具体的软件测试报告用途与报价咨询可直接联系顾问，1 小时内回电沟通。新亿诚作为持有 CMA + CNAS + ilac-MRA 国际互认协议的第三方软件测评机构，可为您提供本文场景下的检测服务。