第168章 共識初達(1/2)
王濤那聲「幹了」還在我腦海里迴蕩著,我桌上的內線電話就響了起來。
「林主管,法務部老張和安全部的劉工五分鐘後就到小會議室。」是我助理小張的,「王經理說,掘地三尺也得在今天把框架摳出來。」
「好,馬上到。」
趙工已經抱著筆記本等在會議室門口了,沖我抬抬下巴:「兵馬未動,糧草先捲起來了?王濤這回是真急眼了。」
「箭在弦上了。」我推開門。
老張捏著眼鏡腿,把我那張「安全沙盒」的草圖看了又看。
「曉陽,想法是好的。但這個『共同監管平台』,數據主權邊界怎麼界定?」
「日誌實時上傳,萬一包含敏感信息,算誰的?合規風險極大。」
旁邊的劉工抱著胳膊,點頭附和:「技術上,監控閾值設定標準是什麼?誰來確定什麼算『異常』?」
「誤報了影響合作進度,這個責任又算誰的?我們不能憑感覺搞安全。」
王濤一聽就毛了:「哎喲兩位大佬!這也不行那也不行,那你們說咋辦?等著凱文發個『好走不送』的郵件來嗎?」
「王經理,急歸急,規矩不能破。」法務部老張敲敲桌子。
「法律條文和合規底線不是彈簧,不能你說壓就壓。」
我吸了口氣,把圖紙往中間推了推。
「張老師,劉工,你們的顧慮非常對。所以我們不能搞模糊地帶。」
我指著「共同監管」那幾個字。
「平台必須架設在我們本地的伺服器上,物理控制權在我們手裡。」
「諾瓦方只有經過我們二次加密後的日誌瀏覽權限,而且只能是事件類型和觸發時間這類元數據,原始數據不出庫。這能解決主權問題嗎?」
老張推了下眼鏡,沉吟片刻:「嗯…如果操作權限和原始數據隔離,瀏覽權限嚴格受限,法理上就通順多了。可以操作。」
劉工緊接著問:「那判斷標準呢?不能我們單方面說了算,不然人家覺得是霸王條款。」
「標準必須提前共同擬定,白紙黑字寫進合作附件里。」我轉向趙工。
「趙工,技術層面,我們能不能先拿出一套國際通用的風險行為基線模型,作為初稿?」
趙工立刻點頭:「沒問題。ISO27001和NIST的框架改一改,結合咱們項目的具體情況,一天就能拿出個草案。到時候雙方專家再一起評議修訂。」
「對!」我接上話,「這就不是我們單方面『規定』,而是雙方基於國際標準『共識』出來的規則。劉工,這樣責任能釐清嗎?」
劉工臉色緩和了些:「如果是這樣,有據可依,有標準可循,那就可以談。」
「還有個實際問題。」老張插話,手指點著「安全沙盒」四個字。
「這個沙盒的範圍,誰來確定?如果都由我們定,對方還是會覺得受限太大,缺乏互信。」
「這個問題在新疆遇到過。」我接過話,「當時給牧民定居點安裝光伏供暖系統,我們和本地技術員也有過類似討論。」
「最後商定,由雙方共同列出所有關鍵操作清單,逐一評估風險等級。」
「高風險操作絕對禁止入沙盒,中低風險且高頻的,經過預處理和監控,可以放進來。這個清單,本身就是談判的一部分。」
「這個辦法好!」趙工一拍大腿,「有清單就有依據,吵起來也有個框架。」
「咱們可以先把我們認為明顯高風險的核心工藝參數調整、底層控制代碼修改等直接劃出沙盒。剩下的,再談。」
王濤看著我們你一言我一語,猛地一拍大腿。
「哎!這麼說不就完了嘛!聽得我腦仁疼。」他轉向老張和劉工。
「那二位,就這麼個思路,趕緊動起來?法務部牽頭弄協議附件,安全部和技術中心搞標準基線和操作清單?」
老張和劉工對視一眼,終於點了頭。
「可以。」
本章未完,點選下一頁繼續閱讀。