前面我們將運行和維護看了一遍，在上一個工作重點中，沒有談及監(jiān)督檢查，實則因為該部分內(nèi)容是等級保護管理部門之職責(zé)，本想單獨寫成一篇。故未在“安全運行與維護”進行體現(xiàn)。今天，特就此絮叨一下這塊內(nèi)容。

　　公安機關(guān)每年都會開展監(jiān)督檢查，去年在公安機關(guān)開展監(jiān)督檢查期間，有好多由其他測評機構(gòu)做過等級保護測評的單位，咨詢我有關(guān)填寫監(jiān)督檢查自查表時，問我該如何填寫。

　　我告訴他們“如實填寫”！

　　我們今天借鑒《網(wǎng)絡(luò)安全等級保護實施指南》和《網(wǎng)絡(luò)安全法與網(wǎng)絡(luò)安全等級保護》2018版教程，一起探討一下監(jiān)督檢查：

　　監(jiān)督檢查的工作是由等級保護管理部門進行，前面其實我也專門用《網(wǎng)絡(luò)安全等級保護：等級保護測評、分級保護測評、密碼保護測評三者之間的關(guān)系》這篇公眾號，說明等級保護與等級保護測評兩個概念的異同點，這里我們主要以公安機關(guān)的監(jiān)督檢查作為重點。

　　監(jiān)督檢查階段需要輸入包括但不限于安全等級測評報告、備案材料、自查報告等，等級保護管理部門、主管部門依據(jù)國家網(wǎng)絡(luò)安全等級保護、行業(yè)監(jiān)管要求等制定監(jiān)督檢查方案及表格；運營、使用單位根據(jù)網(wǎng)絡(luò)安全保護等級保護監(jiān)督檢查、行業(yè)監(jiān)管的規(guī)范或標(biāo)準(zhǔn)，準(zhǔn)備相應(yīng)的監(jiān)督檢查所需材料，等級保護管理部門對等級保護對象定級、規(guī)劃設(shè)計、建設(shè)實施和運行管理等過程的監(jiān)督檢查要求，等級保護管理部門應(yīng)按照國家、行業(yè)相關(guān)等級保護監(jiān)督檢查要求及標(biāo)準(zhǔn)，開展監(jiān)督檢查工作。最終由監(jiān)管部門輸出監(jiān)督檢查材料、監(jiān)督檢查結(jié)果報告等。

　　主管部門，運營、使用單位需要準(zhǔn)備相應(yīng)的監(jiān)督檢查材料，配合等級保護管理部門檢查，確保等級保護對象符合安全保護相應(yīng)等級的要求。

　　首先，作為網(wǎng)絡(luò)運營者接受公安機關(guān)監(jiān)督檢查過程中，自查階段自然也與上篇文章里提到的自查和持續(xù)改進息息相關(guān)，這些工作都是相輔相成的，不可割裂的。因為，自查和持續(xù)改進目標(biāo)是基于存在的風(fēng)險隱患最終實現(xiàn)風(fēng)險可控，網(wǎng)絡(luò)安全達到預(yù)期目的。與公安機關(guān)監(jiān)督檢查最終要求一致，工作的目標(biāo)也是一致的，我們所從事或參與的工作都是希望通過手段的好，最終獲得網(wǎng)絡(luò)安全這個內(nèi)在的好。

　　這個階段的工作是由主管部門，運營、使用單位，等級保護管理部門共同完成。

　　以上是監(jiān)督檢查的概況的描述，下面就監(jiān)督檢查做個更細致的描述：

　　監(jiān)督檢查：備案單位、行業(yè)主管部門、公安機關(guān)要分別建立并落實監(jiān)督檢查機制，定期對《網(wǎng)絡(luò)安全法》、網(wǎng)絡(luò)安全等級保護制度各項要求的落實情況進行自查和監(jiān)督檢查。在這個過程中，公安機關(guān)已經(jīng)形成了一套較完備的監(jiān)督檢查機制，并且已經(jīng)執(zhí)行多年，有關(guān)工作開展已經(jīng)成為常態(tài)。

　　監(jiān)督檢查分兩個大階段，定期自查與督導(dǎo)檢查、公安機關(guān)的監(jiān)督檢查。第一個階段又可分為備案單位的定期自查、行業(yè)主管部門的督導(dǎo)檢查；第二階段又可分為檢查的原則和方法、檢查的主要內(nèi)容、檢查整個要求、檢查工作要求、事件調(diào)查工作等。

　　備案單位的定期自查：這個過程要求備案單位按照《網(wǎng)絡(luò)安全法》和網(wǎng)絡(luò)安全等級保護制度，對網(wǎng)絡(luò)安全工作情況、等級保護工作落實情況進行自查，掌握網(wǎng)絡(luò)安全狀況、安全管理制度及技術(shù)保護措施的落實情況等，及時發(fā)現(xiàn)安全隱患和存在的突出問題，有針對性地采取技術(shù)和管理措施。

　　第三級網(wǎng)絡(luò)要求每年進行一次自查。自查完成后，網(wǎng)絡(luò)的安全狀況未達到安全保護等級要求的，網(wǎng)絡(luò)運營者需要進一步進行安全建設(shè)整改。所以上次說道，有好多單位私信問我為何他們“過了等保”公安機關(guān)還要求進行整改，到這里其實已經(jīng)要求整改了。也就是，“過等保”不僅僅是一次測評或備案，而是時刻落實等保政策，從技術(shù)措施、管理措施持之以恒的加強防護，這才是“過等保”！“過等保”如同“過人生”，終點就是下篇公眾號探討的廢止。

　　整改不能簡單的理解是公安要求的，而是應(yīng)該理解成是信息系統(tǒng)安全現(xiàn)狀與等級保護相關(guān)要求存在差距要求的，是系統(tǒng)本身存在安全風(fēng)險要求的，是網(wǎng)絡(luò)安全要求的。

　　另外，要求網(wǎng)絡(luò)運營者積極配合公安機關(guān)的監(jiān)督檢查工作，如實提供有關(guān)資料及文件。當(dāng)網(wǎng)絡(luò)發(fā)生事件、案件時，備案單位還需要及時向受理備案的公安機關(guān)報告。

　　行業(yè)主管部門的督導(dǎo)檢查：這個屬于行業(yè)主管（監(jiān)管）部門需要開展的工作，行業(yè)主管（監(jiān)管）部門應(yīng)組織制定本行業(yè)、本領(lǐng)域網(wǎng)絡(luò)安全等級保護工作規(guī)劃和標(biāo)準(zhǔn)規(guī)范，掌握網(wǎng)絡(luò)基本情況、定級備案情況和安全保護狀況；督促網(wǎng)絡(luò)運營者開展網(wǎng)絡(luò)定級備案、等級測評、風(fēng)險評估、安全建設(shè)整改、安全自查等工作。

　　行業(yè)主管（監(jiān)管）部門監(jiān)督、檢查、指導(dǎo)本行業(yè)、本領(lǐng)域網(wǎng)絡(luò)運營者依據(jù)網(wǎng)絡(luò)安全等級保護制度和相關(guān)標(biāo)準(zhǔn)要求，落實網(wǎng)絡(luò)安全管理和技術(shù)保護措施，組織開展網(wǎng)絡(luò)安全防范、網(wǎng)絡(luò)安全事件應(yīng)急處置、重大活動網(wǎng)絡(luò)安全保護等工作。

　　下面結(jié)合《網(wǎng)絡(luò)安全法與網(wǎng)絡(luò)安全等級保護》簡單說一下公安機關(guān)的監(jiān)督檢查：

　　檢查的原則和方法：公安機關(guān)對網(wǎng)絡(luò)運營者依照國家法律法規(guī)規(guī)定和相關(guān)標(biāo)準(zhǔn)要求，落實網(wǎng)絡(luò)安全等級保護制度，開展網(wǎng)絡(luò)安全防范、網(wǎng)絡(luò)安全事件應(yīng)急處置、重大活動網(wǎng)絡(luò)安全保衛(wèi)等工作，實行監(jiān)督管理；對第三級以上網(wǎng)絡(luò)運營者（含關(guān)鍵信息基礎(chǔ)設(shè)施運營者）按照網(wǎng)絡(luò)安全等級保護制度落實網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全、網(wǎng)絡(luò)運行安全和數(shù)據(jù)安全保護責(zé)任義務(wù)，實行重點監(jiān)督管理。

　　公安機關(guān)對同級行業(yè)主管（監(jiān)管）部門依照國家法律法規(guī)規(guī)定和相關(guān)標(biāo)準(zhǔn)要求，組織督促本行業(yè)、本領(lǐng)域落實網(wǎng)絡(luò)安全等級保護制度，開展網(wǎng)絡(luò)安全防范、網(wǎng)絡(luò)安全事件應(yīng)急處置、重大活動網(wǎng)絡(luò)安全保衛(wèi)等工作情況，進行監(jiān)督、檢查、指導(dǎo)。

　　公安機關(guān)參照公安部網(wǎng)絡(luò)安全保衛(wèi)局下發(fā)的《公安機關(guān)網(wǎng)絡(luò)安全執(zhí)法檢查工作指引》《政府信息系統(tǒng)及網(wǎng)站安全執(zhí)法檢查工作指引（試行）》等指引， 開展網(wǎng)絡(luò)安全執(zhí)法檢查工作。公安機關(guān)網(wǎng)安部門會從常規(guī)性檢查向深度檢查、延展檢查、閉環(huán)檢查轉(zhuǎn)變，充分運用對抗檢查、技術(shù)檢查等方式，對重要信息系統(tǒng)、重點網(wǎng)站及移動互聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、工業(yè)控制系統(tǒng)、物聯(lián)網(wǎng)等新技術(shù)新應(yīng)用的安全保護能力進行進行檢查。

　　檢查的主要內(nèi)容：公安機關(guān)依法對網(wǎng)絡(luò)安全工作情況進行監(jiān)督檢查，包括但不限于以下內(nèi)容：

　　一是日常網(wǎng)絡(luò)安全防范工作。

　　二是重大網(wǎng)絡(luò)安全風(fēng)險隱患整改情況。

　　三是重大網(wǎng)絡(luò)安全事件應(yīng)急處置和恢復(fù)工作。

　　四是重大活動網(wǎng)絡(luò)安全保衛(wèi)工作落實情況。

　　五是其他網(wǎng)絡(luò)安全工作情況。

　　這里插一句，上面檢查內(nèi)容第一條則是日常網(wǎng)絡(luò)安全防范工作，也就是在落實等級保護工作過程中，是功夫在平時不能僅僅為了測評而測評，那樣都是“務(wù)虛”，而非“務(wù)實”，當(dāng)然公安機關(guān)檢查也會對“務(wù)虛”的單位進行一定的勸誡或懲處。

　　公安機關(guān)對第三級以上網(wǎng)絡(luò)運營者（含關(guān)鍵信息基礎(chǔ)設(shè)施運營者）的日常網(wǎng)絡(luò)安全工作，會每年至少開展一次安全檢查。檢查時，可能會會同相關(guān)行業(yè)主管（監(jiān)管）部門開展一起開展。當(dāng)然公安機關(guān)認為有必要時，也會組織技術(shù)支持隊伍開展網(wǎng)絡(luò)安全專門技術(shù)檢測。

　　在公安機關(guān)依法開展監(jiān)督檢查過程中，要求網(wǎng)絡(luò)運營者、行業(yè)主管（監(jiān)管）部門協(xié)助、配合公安機關(guān)依法實施監(jiān)督檢查，按照公安機關(guān)要求如實提供相關(guān)數(shù)據(jù)信息。

　　檢查整改要求：公安機關(guān)在監(jiān)督檢查中發(fā)現(xiàn)網(wǎng)絡(luò)安全風(fēng)險隱患的，會通知網(wǎng)絡(luò)運營者采取措施立即消除；不能及時消除的，也會責(zé)令限期整改。威脅到國家安全、公共安全和社會公共利益的，公安機關(guān)還會依法采取停止聯(lián)網(wǎng)、停機整頓等處置措施。

　　檢查工作要求：公安機關(guān)開展檢查工作，遵循“嚴(yán)格依法，熱情服務(wù)”的原則，遵守檢查紀(jì)律，規(guī)范檢查程序，主動、熱情地為網(wǎng)絡(luò)運營者提供服務(wù)和指導(dǎo)。

　　當(dāng)然也要求網(wǎng)絡(luò)安全等級保護監(jiān)督管理部門及其工作人員，必須對在履行職責(zé)中知悉的國家秘密、商業(yè)秘密、重要敏感信息和個人信息嚴(yán)格保密，不得泄露、出售或者非法向他人提供。

　　事件調(diào)查工作：公安機關(guān)會根據(jù)有關(guān)規(guī)定處置網(wǎng)絡(luò)安全事件，開展事件調(diào)查，認定事件責(zé)任，查處危害網(wǎng)絡(luò)安全的違法犯罪活動。

　　公安機關(guān)在事件調(diào)查處置過程中，必要時依法會責(zé)令網(wǎng)絡(luò)運營者采取阻斷信息傳輸、暫停網(wǎng)絡(luò)運行、備份相關(guān)數(shù)據(jù)等緊急措施。

　　當(dāng)然，作為網(wǎng)絡(luò)運營者應(yīng)當(dāng)為公安機關(guān)、有關(guān)部門開展事件調(diào)查和處置提供支持和協(xié)助，為公安機關(guān)、國家安全機關(guān)依法維護國家安全和偵查犯罪的活動提供技術(shù)支持和協(xié)助。

　　對網(wǎng)絡(luò)服務(wù)機構(gòu)的監(jiān)督管理：公安機關(guān)對網(wǎng)絡(luò)安全等級保護測評機構(gòu)的監(jiān)督管理是貫徹整個測評各個環(huán)節(jié)的，公安機關(guān)對網(wǎng)絡(luò)安全等級保護測評機構(gòu)、測評人員及其測評活動進行監(jiān)督管理，發(fā)現(xiàn)有違反規(guī)定行為的，會責(zé)令整改；情形嚴(yán)重的，將其從等級保護測評機構(gòu)目錄中移除。

　　公安機關(guān)依法對等級測評機構(gòu)及其人員進行監(jiān)督管理，發(fā)現(xiàn)有違反規(guī)定行為的，會要求責(zé)令整改；情形嚴(yán)重的，同時也會從等級保護測評機構(gòu)目錄中移除。

　　公安機關(guān)對從事網(wǎng)絡(luò)建設(shè)、運維、安全監(jiān)測、檢測認證、風(fēng)險評估等網(wǎng)絡(luò)服務(wù)機構(gòu)、服務(wù)人員及其服務(wù)活動進行監(jiān)督管理，發(fā)現(xiàn)有違反管理規(guī)定行為的，會責(zé)令其整改，并對關(guān)鍵崗位的服務(wù)人員進行安全背景審查。

　　也就是公安機關(guān)在整個等級保護工作的各個環(huán)節(jié)都進行監(jiān)管，而無論是那個環(huán)節(jié)公安機關(guān)都有依法處罰的權(quán)力。所以等級保護工作是一個常態(tài)化工作，不存在一勞永逸，更不可能指望做一次測評就可以萬事大吉，枕著枕頭睡大覺，那是不現(xiàn)實的，出了安全事件或事故，無論單位還是個人都需要承擔(dān)責(zé)任的。

　　公安機關(guān)對網(wǎng)絡(luò)運營者進行監(jiān)督檢查是每年的常態(tài)化工作，是年年有，年年有共同點，也年年新的一個常態(tài)工作。只有在日常工作中，扎實開展網(wǎng)絡(luò)安全保護工作，才能輕松應(yīng)對安全主管部門的監(jiān)督檢查。做好工作要里子面子都有，而不是應(yīng)付工作，那樣臨檢時還是會漏洞百出，另外也違背了如實提供材料的原則，因此也是需要承擔(dān)責(zé)任的。

　　網(wǎng)絡(luò)安全工作的開展最終也離不開以“誠”落“實”，達到網(wǎng)絡(luò)“真”安全！落實網(wǎng)絡(luò)安全等級保護制度，切實采取安全防護措施，做好安全運行維護，認真開展自查，查漏補缺，如實向監(jiān)管機構(gòu)提供監(jiān)督檢查資料。這是正確履行責(zé)任以及降低安全風(fēng)險，降低安全責(zé)任的最佳途徑。

　　如果，你從《網(wǎng)絡(luò)安全等級保護：如何各方共同參與做好定級與備案工作》一直看到這篇公眾號的話，基本這才是過等保的粗略過程，而測評在整個落實等級保護過程中是不可或缺的，但是沒有這個整體落實等保的扎實工作過程，測評結(jié)果是不可能理想的。有句話“莫問收獲，但問耕耘”雖是儒家的一個心態(tài)，但是工作生活中只要方向?qū)α耍藕昧俗匀皇斋@理論上也不會差，但是若“莫問耕耘，但問收獲”，也只能是收獲稗草秕糠而已。

　　讓我們一起為祖國的網(wǎng)絡(luò)安全各盡一份心力！