第549章 漏洞报告背后的“灰审计”（1/2）

安全专项评估通知不是威胁，是“邀请”。

邀请语气很客气：为保障省试点公共接口安全合规，拟对相关系统开展安全评估。评估方式：现场核验、日志抽检、接口调用检查。评估建议由“合作机构”提供。

合作机构的名字，刘曼一眼就认出来——就是协会指定的那家。

她把邮件拍在桌上：“他们想把安全评估做成新的门票。公开FAQ他们拿不到解释权，就换个口子——安全认证。”

陈毅翻着附件，越看越火：“你看这条——‘建议通过协会推荐机构完成整改并出具证明’。这不就是强制买单？”

林远没急着骂，他把邮件打印出来，拿红笔在上面圈了两个地方：

“建议”

“推荐机构”

“他们不敢写‘必须’，因为联合检查纪要已经压着。”林远说，“但他们会把‘建议’写进内部流程，让你们不得不执行。这就是灰审计：用看似专业的评估，把门票塞进程序里。”

审计旁听官从门口进来，手里同样拿着一份打印件：“市里信息化办已经收到了同样通知。副局让我问你一句——你们准备怎么应对？要配合评估，但不能被评估绑架。”

林远点头：“我们配合，但我们提出三个条件：

一，评估报告必须公开摘要；

二，评估发现的问题必须给出复现步骤；

三，整改建议不得指定供应商或机构，否则视为不当利益输送线索。”

刘曼担心：“他们会同意吗？”

“不同意也得同意。”林远说，“因为我们不单靠嘴——我们有采购条款附录，有旁听纪要，还有联合检查纪要。我们只要把条件写进回函，就变成了程序的一部分。”

他当场拟了一份回函，标题很短：

《关于安全评估配合与公开要求的回函》

回函末尾加了一句：“评估过程中涉及的任何‘建议整改服务’，如出现指定机构或收费门票行为，将同步抄送市场监管线索平台。”

陈毅看着那句，心里发凉：“这等于直接点名开战。”

林远没否认：“他们想拿安全当刀，我们就让安全也被审计。”

第二天，现场核验如期进行。

评估人员来了五个，穿着统一的深色夹克，背着笔记本，看起来很专业。领头的人一进门就开口：“我们只做技术，不参与争议。请把后台权限给我们。”

陈毅冷笑：“权限可以给，但按旁听机制走。所有操作录屏，旁听官在场，日志抽检范围写清楚，超出范围视为违规取证。”

对方脸色微微一变：“你们这是不信任我们。”

“不是不信任。”审计旁听官接话，“是制度要求。你们评估是公共事务，就必须留痕。”

本章未完，点击下一页继续阅读。