前面我們將運行和維護看了一遍，在上一個工作重點中，沒有談及監(jiān)督檢查，實則因為該部分內容是等級保護管理部門之職責，本想單獨寫成一篇。故未在“安全運行與維護”進行體現(xiàn)。今天，特就此絮叨一下這塊內容。

　　公安機關每年都會開展監(jiān)督檢查，去年在公安機關開展監(jiān)督檢查期間，有好多由其他測評機構做過等級保護測評的單位，咨詢我有關填寫監(jiān)督檢查自查表時，問我該如何填寫。

　　我告訴他們“如實填寫”！

　　我們今天借鑒《網(wǎng)絡安全等級保護實施指南》和《網(wǎng)絡安全法與網(wǎng)絡安全等級保護》2018版教程，一起探討一下監(jiān)督檢查：

　　監(jiān)督檢查的工作是由等級保護管理部門進行，前面其實我也專門用《網(wǎng)絡安全等級保護：等級保護測評、分級保護測評、密碼保護測評三者之間的關系》這篇公眾號，說明等級保護與等級保護測評兩個概念的異同點，這里我們主要以公安機關的監(jiān)督檢查作為重點。

　　監(jiān)督檢查階段需要輸入包括但不限于安全等級測評報告、備案材料、自查報告等，等級保護管理部門、主管部門依據(jù)國家網(wǎng)絡安全等級保護、行業(yè)監(jiān)管要求等制定監(jiān)督檢查方案及表格；運營、使用單位根據(jù)網(wǎng)絡安全保護等級保護監(jiān)督檢查、行業(yè)監(jiān)管的規(guī)范或標準，準備相應的監(jiān)督檢查所需材料，等級保護管理部門對等級保護對象定級、規(guī)劃設計、建設實施和運行管理等過程的監(jiān)督檢查要求，等級保護管理部門應按照國家、行業(yè)相關等級保護監(jiān)督檢查要求及標準，開展監(jiān)督檢查工作。最終由監(jiān)管部門輸出監(jiān)督檢查材料、監(jiān)督檢查結果報告等。

　　主管部門，運營、使用單位需要準備相應的監(jiān)督檢查材料，配合等級保護管理部門檢查，確保等級保護對象符合安全保護相應等級的要求。

　　首先，作為網(wǎng)絡運營者接受公安機關監(jiān)督檢查過程中，自查階段自然也與上篇文章里提到的自查和持續(xù)改進息息相關，這些工作都是相輔相成的，不可割裂的。因為，自查和持續(xù)改進目標是基于存在的風險隱患最終實現(xiàn)風險可控，網(wǎng)絡安全達到預期目的。與公安機關監(jiān)督檢查最終要求一致，工作的目標也是一致的，我們所從事或參與的工作都是希望通過手段的好，最終獲得網(wǎng)絡安全這個內在的好。

　　這個階段的工作是由主管部門，運營、使用單位，等級保護管理部門共同完成。

　　以上是監(jiān)督檢查的概況的描述，下面就監(jiān)督檢查做個更細致的描述：

　　監(jiān)督檢查：備案單位、行業(yè)主管部門、公安機關要分別建立并落實監(jiān)督檢查機制，定期對《網(wǎng)絡安全法》、網(wǎng)絡安全等級保護制度各項要求的落實情況進行自查和監(jiān)督檢查。在這個過程中，公安機關已經(jīng)形成了一套較完備的監(jiān)督檢查機制，并且已經(jīng)執(zhí)行多年，有關工作開展已經(jīng)成為常態(tài)。

　　監(jiān)督檢查分兩個大階段，定期自查與督導檢查、公安機關的監(jiān)督檢查。第一個階段又可分為備案單位的定期自查、行業(yè)主管部門的督導檢查；第二階段又可分為檢查的原則和方法、檢查的主要內容、檢查整個要求、檢查工作要求、事件調查工作等。

　　備案單位的定期自查：這個過程要求備案單位按照《網(wǎng)絡安全法》和網(wǎng)絡安全等級保護制度，對網(wǎng)絡安全工作情況、等級保護工作落實情況進行自查，掌握網(wǎng)絡安全狀況、安全管理制度及技術保護措施的落實情況等，及時發(fā)現(xiàn)安全隱患和存在的突出問題，有針對性地采取技術和管理措施。

　　第三級網(wǎng)絡要求每年進行一次自查。自查完成后，網(wǎng)絡的安全狀況未達到安全保護等級要求的，網(wǎng)絡運營者需要進一步進行安全建設整改。所以上次說道，有好多單位私信問我為何他們“過了等保”公安機關還要求進行整改，到這里其實已經(jīng)要求整改了。也就是，“過等?！辈粌H僅是一次測評或備案，而是時刻落實等保政策，從技術措施、管理措施持之以恒的加強防護，這才是“過等?！?！“過等?！比缤斑^人生”，終點就是下篇公眾號探討的廢止。

　　整改不能簡單的理解是公安要求的，而是應該理解成是信息系統(tǒng)安全現(xiàn)狀與等級保護相關要求存在差距要求的，是系統(tǒng)本身存在安全風險要求的，是網(wǎng)絡安全要求的。

　　另外，要求網(wǎng)絡運營者積極配合公安機關的監(jiān)督檢查工作，如實提供有關資料及文件。當網(wǎng)絡發(fā)生事件、案件時，備案單位還需要及時向受理備案的公安機關報告。

　　行業(yè)主管部門的督導檢查：這個屬于行業(yè)主管（監(jiān)管）部門需要開展的工作，行業(yè)主管（監(jiān)管）部門應組織制定本行業(yè)、本領域網(wǎng)絡安全等級保護工作規(guī)劃和標準規(guī)范，掌握網(wǎng)絡基本情況、定級備案情況和安全保護狀況；督促網(wǎng)絡運營者開展網(wǎng)絡定級備案、等級測評、風險評估、安全建設整改、安全自查等工作。

　　行業(yè)主管（監(jiān)管）部門監(jiān)督、檢查、指導本行業(yè)、本領域網(wǎng)絡運營者依據(jù)網(wǎng)絡安全等級保護制度和相關標準要求，落實網(wǎng)絡安全管理和技術保護措施，組織開展網(wǎng)絡安全防范、網(wǎng)絡安全事件應急處置、重大活動網(wǎng)絡安全保護等工作。

　　下面結合《網(wǎng)絡安全法與網(wǎng)絡安全等級保護》簡單說一下公安機關的監(jiān)督檢查：

　　檢查的原則和方法：公安機關對網(wǎng)絡運營者依照國家法律法規(guī)規(guī)定和相關標準要求，落實網(wǎng)絡安全等級保護制度，開展網(wǎng)絡安全防范、網(wǎng)絡安全事件應急處置、重大活動網(wǎng)絡安全保衛(wèi)等工作，實行監(jiān)督管理；對第三級以上網(wǎng)絡運營者（含關鍵信息基礎設施運營者）按照網(wǎng)絡安全等級保護制度落實網(wǎng)絡基礎設施安全、網(wǎng)絡運行安全和數(shù)據(jù)安全保護責任義務，實行重點監(jiān)督管理。

　　公安機關對同級行業(yè)主管（監(jiān)管）部門依照國家法律法規(guī)規(guī)定和相關標準要求，組織督促本行業(yè)、本領域落實網(wǎng)絡安全等級保護制度，開展網(wǎng)絡安全防范、網(wǎng)絡安全事件應急處置、重大活動網(wǎng)絡安全保衛(wèi)等工作情況，進行監(jiān)督、檢查、指導。

　　公安機關參照公安部網(wǎng)絡安全保衛(wèi)局下發(fā)的《公安機關網(wǎng)絡安全執(zhí)法檢查工作指引》《政府信息系統(tǒng)及網(wǎng)站安全執(zhí)法檢查工作指引（試行）》等指引， 開展網(wǎng)絡安全執(zhí)法檢查工作。公安機關網(wǎng)安部門會從常規(guī)性檢查向深度檢查、延展檢查、閉環(huán)檢查轉變，充分運用對抗檢查、技術檢查等方式，對重要信息系統(tǒng)、重點網(wǎng)站及移動互聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、工業(yè)控制系統(tǒng)、物聯(lián)網(wǎng)等新技術新應用的安全保護能力進行進行檢查。

　　檢查的主要內容：公安機關依法對網(wǎng)絡安全工作情況進行監(jiān)督檢查，包括但不限于以下內容：

　　一是日常網(wǎng)絡安全防范工作。

　　二是重大網(wǎng)絡安全風險隱患整改情況。

　　三是重大網(wǎng)絡安全事件應急處置和恢復工作。

　　四是重大活動網(wǎng)絡安全保衛(wèi)工作落實情況。

　　五是其他網(wǎng)絡安全工作情況。

　　這里插一句，上面檢查內容第一條則是日常網(wǎng)絡安全防范工作，也就是在落實等級保護工作過程中，是功夫在平時不能僅僅為了測評而測評，那樣都是“務虛”，而非“務實”，當然公安機關檢查也會對“務虛”的單位進行一定的勸誡或懲處。

　　公安機關對第三級以上網(wǎng)絡運營者（含關鍵信息基礎設施運營者）的日常網(wǎng)絡安全工作，會每年至少開展一次安全檢查。檢查時，可能會會同相關行業(yè)主管（監(jiān)管）部門開展一起開展。當然公安機關認為有必要時，也會組織技術支持隊伍開展網(wǎng)絡安全專門技術檢測。

　　在公安機關依法開展監(jiān)督檢查過程中，要求網(wǎng)絡運營者、行業(yè)主管（監(jiān)管）部門協(xié)助、配合公安機關依法實施監(jiān)督檢查，按照公安機關要求如實提供相關數(shù)據(jù)信息。

　　檢查整改要求：公安機關在監(jiān)督檢查中發(fā)現(xiàn)網(wǎng)絡安全風險隱患的，會通知網(wǎng)絡運營者采取措施立即消除；不能及時消除的，也會責令限期整改。威脅到國家安全、公共安全和社會公共利益的，公安機關還會依法采取停止聯(lián)網(wǎng)、停機整頓等處置措施。

　　檢查工作要求：公安機關開展檢查工作，遵循“嚴格依法，熱情服務”的原則，遵守檢查紀律，規(guī)范檢查程序，主動、熱情地為網(wǎng)絡運營者提供服務和指導。

　　當然也要求網(wǎng)絡安全等級保護監(jiān)督管理部門及其工作人員，必須對在履行職責中知悉的國家秘密、商業(yè)秘密、重要敏感信息和個人信息嚴格保密，不得泄露、出售或者非法向他人提供。

　　事件調查工作：公安機關會根據(jù)有關規(guī)定處置網(wǎng)絡安全事件，開展事件調查，認定事件責任，查處危害網(wǎng)絡安全的違法犯罪活動。

　　公安機關在事件調查處置過程中，必要時依法會責令網(wǎng)絡運營者采取阻斷信息傳輸、暫停網(wǎng)絡運行、備份相關數(shù)據(jù)等緊急措施。

　　當然，作為網(wǎng)絡運營者應當為公安機關、有關部門開展事件調查和處置提供支持和協(xié)助，為公安機關、國家安全機關依法維護國家安全和偵查犯罪的活動提供技術支持和協(xié)助。

　　對網(wǎng)絡服務機構的監(jiān)督管理：公安機關對網(wǎng)絡安全等級保護測評機構的監(jiān)督管理是貫徹整個測評各個環(huán)節(jié)的，公安機關對網(wǎng)絡安全等級保護測評機構、測評人員及其測評活動進行監(jiān)督管理，發(fā)現(xiàn)有違反規(guī)定行為的，會責令整改；情形嚴重的，將其從等級保護測評機構目錄中移除。

　　公安機關依法對等級測評機構及其人員進行監(jiān)督管理，發(fā)現(xiàn)有違反規(guī)定行為的，會要求責令整改；情形嚴重的，同時也會從等級保護測評機構目錄中移除。

　　公安機關對從事網(wǎng)絡建設、運維、安全監(jiān)測、檢測認證、風險評估等網(wǎng)絡服務機構、服務人員及其服務活動進行監(jiān)督管理，發(fā)現(xiàn)有違反管理規(guī)定行為的，會責令其整改，并對關鍵崗位的服務人員進行安全背景審查。

　　也就是公安機關在整個等級保護工作的各個環(huán)節(jié)都進行監(jiān)管，而無論是那個環(huán)節(jié)公安機關都有依法處罰的權力。所以等級保護工作是一個常態(tài)化工作，不存在一勞永逸，更不可能指望做一次測評就可以萬事大吉，枕著枕頭睡大覺，那是不現(xiàn)實的，出了安全事件或事故，無論單位還是個人都需要承擔責任的。

　　公安機關對網(wǎng)絡運營者進行監(jiān)督檢查是每年的常態(tài)化工作，是年年有，年年有共同點，也年年新的一個常態(tài)工作。只有在日常工作中，扎實開展網(wǎng)絡安全保護工作，才能輕松應對安全主管部門的監(jiān)督檢查。做好工作要里子面子都有，而不是應付工作，那樣臨檢時還是會漏洞百出，另外也違背了如實提供材料的原則，因此也是需要承擔責任的。

　　網(wǎng)絡安全工作的開展最終也離不開以“誠”落“實”，達到網(wǎng)絡“真”安全！落實網(wǎng)絡安全等級保護制度，切實采取安全防護措施，做好安全運行維護，認真開展自查，查漏補缺，如實向監(jiān)管機構提供監(jiān)督檢查資料。這是正確履行責任以及降低安全風險，降低安全責任的最佳途徑。

　　如果，你從《網(wǎng)絡安全等級保護：如何各方共同參與做好定級與備案工作》一直看到這篇公眾號的話，基本這才是過等保的粗略過程，而測評在整個落實等級保護過程中是不可或缺的，但是沒有這個整體落實等保的扎實工作過程，測評結果是不可能理想的。有句話“莫問收獲，但問耕耘”雖是儒家的一個心態(tài)，但是工作生活中只要方向對了，耕耘好了自然收獲理論上也不會差，但是若“莫問耕耘，但問收獲”，也只能是收獲稗草秕糠而已。

　　讓我們一起為祖國的網(wǎng)絡安全各盡一份心力！