不可接受的,因为它让审计依赖被审计对象的配合。
林昼立刻给梁组长发:“这份摘要已经足够支撑监管升级:
1)‘缓存短时驻留’+‘不保证固定路径’→需要跨境评估/数据出境合规说明;
2)日志仅供应商可查→审计独立性缺失,需要监管直接调取机制或第三方出具直接证明;
3)日志留存90天,合同要求乙方审计日志≥180天→存在留存期限不一致,要求解释如何满足合同。
下一轮问询重点就锁定这三点。”
梁组长回:“监管也注意到了180天与90天冲突。”
林昼补:“再加一条:tok+0900节点是否属于该第三方网络?如果是,第三方节点可能位于日本或使用日本时区配置。要求第三方出具节点区域证明或节点调度日志摘要(按区域统计)。供应商不能代替第三方作证。”
梁组长回:“会追。”
---
下午四点五十,原医院信息科联系人终于开口了。监管问他:“19:20那封邮件你是否收到?你是否知晓证书更新与热修复?”他回答很谨慎:“我收到过变更告知,但内容很简略,只说‘例行证书更新与策略热修复’,未明确提示可能触发自动回滚,也未要求确认。我当时在值班,未回复。”
“收到过,内容简略,未提示自动回滚,未要求确认。”
这句话像一把钥匙,插进了“通知义务”的锁孔:供应商说已通知,医院说收到但告知不充分。告知不充分不等于医院无责,但它更说明供应商的风险管理粗糙:重大变更只提前20分钟通知、内容简略、没有确认闭环、关键期照做。
闭环缺失,常常比故障更危险。因为它不是偶发,是习惯。
林昼让法务把这段口头陈述纳入“证据链节点”:
*19:20告知邮件收到(医院信息科口头确认)
*告知内容简略,未提示自动回滚风险
*未要求确认,医院未回复
他随即对梁组长说:“请监管要求供应商提供变更告知邮件正文摘要(脱敏),核对是否确实未提示自动回滚。并要求其说明:为何重大变更不要求确认?是否存在变更确认制度?没有就是制度缺失,有却未执行就是执行缺陷。”
梁组长回:“监管会写进提纲。”
---
傍晚六点,
本章未完,请点击下一页继续阅读!