了不同场景的特殊性。接下来的一个月,希望你能牵头组建专项工作组,完善这三个核心模块的细节。”
散会后,苏念安在走廊遇到了李警官。“没想到你不仅能在一线发现风险,还能沉下心来做标准制定这种基础性工作。”李警官递过来一杯温水,“不过要提醒你,这次标准制定触及了不少企业的既得利益,有些企业为了降低合规成本,可能会从中作梗。”
苏念安接过水杯,指尖传来暖意:“我早有心理准备。标准的意义不在于一蹴而就,而在于能真正解决行业痛点。只要能守护数据安全,这点阻力不算什么。”
回到公司,苏念安立刻组建了专项工作组,成员包括助理林晓、技术部的资深工程师、法律顾问,还有两位从网安部门借来的技术专家。工作组的第一个任务,就是对全国300多家不同类型的医疗数据平台进行调研,收集实际运营中的风险评估痛点。
“念安,这是我们整理的第一批次调研问卷结果。”林晓将一份报告放在苏念安桌上,“很多中小型平台反映,现行的风险评估流程过于复杂,缺乏专业人员,很难完成合规评估;而大型平台则认为,标准对新型攻击手段的覆盖不足,比如ai驱动的定向数据窃取。”
苏念安快速浏览报告,眉头微蹙。中小型平台的合规难题确实是关键——如果标准过于严苛,可能导致部分企业阳奉阴违;但如果降低标准,又会留下安全隐患。“我们需要设计一套分级合规体系。”她沉吟道,“大型平台必须满足全部标准条款,中小型平台可在两年内完成核心条款合规,同时提供免费的在线评估工具和培训课程,帮助他们提升能力。”
对于新型攻击手段的覆盖,苏念安决定联合高校的网络安全实验室,收集近三年来全球范围内的医疗数据安全案例,重点分析ai攻击、量子计算破解等新兴风险。“技术发展太快,标准必须具备前瞻性。”她对工作组的技术专家说,“我们要在标准中加入风险预警机制,要求平台建立新兴技术风险监测模块。”
然而,调研工作刚开展两周,就遇到了阻力。一家名为“康泰数据”的大型医疗数据企业,拒绝提供核心运营数据,还公开质疑标准制定的必要性:“我们已经通过了国际信息安全认证,国内标准没必要重复制定,反而会增加企业负担。”
康泰数据是行业内的龙头企业,市场占有率超过15,他们的态度可能会影响其他企业的配合度。苏念安决定亲自登门沟通。
康泰数据的ceo赵明德是业内知名的“技术派”,见面后直奔主题:“苏经理,我不是反对制定标准,而是觉得现行草案太理想化。比如要求实时监测数据流转,这对服务器的算力要求极高,我们测算过,仅改造费用就超过2亿元。”
苏念安没有直接反驳,而是拿出一份数据分析报告:“赵总,这是我们对康泰数据近一年的公开安全审计报告的分析。你们的系统虽然通过了国际认证,但在数据传输环节存在明显漏洞——去年三季度,你们的一个 regional 节点曾出现过37次异常访问,只是没有造成数据泄露,才没有被曝光。”
赵明德的脸色微微一变。苏念安继续说道:“实时监测并非要求全程无死角监控,我们设计的方案是基于数据脱敏技术,只对敏感字段的流转进行监测,改造费用可降低至3000万元以内。而且标准实施后,能显着降低数据泄露风险,这比后续的赔偿成本、声誉损失要低得多。”
她顿了顿,补充道:“国际认证虽然权威,但未必完全适配国内的医疗数据监管要求。比如我国对基因数据的保护力度,远高于国际标准。制定符合国情的行业标准,是为了更好地守护国内患者的隐私安全。”
赵明德沉默了许久,终于松口:“我可以提供必要的数据,但希望标准能充分考虑企业的实际运营成本。”
解决了康泰数据的问题后,其他企业的配合度明显提高。苏念安带领工作组加班加点,对收集到的10万多条数据进行分析,优化风险分级模型,完善应急响应流程。她将应急响应时间从原来的24小时压缩至8小时,要求平台建立跨企业的应急联动机制,一旦发生数据泄露,可快速协调各方资源进行处置。
就在标准草案即将完成时,苏念安收到了一封匿名邮件。邮件里是一份详细的利益输送清单,指控标委会的一位专家收受了部分企业的好处,试图修改标准条款,为这些企业降低合规要求。
“要不要直接上报王教授?”林晓看着邮件,神色紧张。如果情况属实,不仅会影响标准的公正性,还可能导致整个制定工作推倒重来。
苏念安思考片刻,摇了摇头:“现在没有确凿证据,盲目上报可能会打草惊蛇。我们先暗中调查,收集证据。”
她联系了网安部门的李警官,请求协助调查清单上的资金流向。同时,她以完善条款为由,多次与那位被指控的专家沟通,记录下对方在关键条款上的异常坚持——比如对方一直主张降低“内部人员权限管理”的考核权重,而清单上恰好有一家企