前面我們將運行和維護看了一遍，在上一個工作重點中，沒有談及監督檢查，實則因為該部分內容是等級保護管理部門之職責，本想單獨寫成一篇。故未在“安全運行與維護”進行體現。今天，特就此絮叨一下這塊內容。

　　公安機關每年都會開展監督檢查，去年在公安機關開展監督檢查期間，有好多由其他測評機構做過等級保護測評的單位，咨詢我有關填寫監督檢查自查表時，問我該如何填寫。

　　我告訴他們“如實填寫”！

　　我們今天借鑒《網絡安全等級保護實施指南》和《網絡安全法與網絡安全等級保護》2018版教程，一起探討一下監督檢查：

　　監督檢查的工作是由等級保護管理部門進行，前面其實我也專門用《網絡安全等級保護：等級保護測評、分級保護測評、密碼保護測評三者之間的關系》這篇公眾號，說明等級保護與等級保護測評兩個概念的異同點，這里我們主要以公安機關的監督檢查作為重點。

　　監督檢查階段需要輸入包括但不限于安全等級測評報告、備案材料、自查報告等，等級保護管理部門、主管部門依據國家網絡安全等級保護、行業監管要求等制定監督檢查方案及表格；運營、使用單位根據網絡安全保護等級保護監督檢查、行業監管的規范或標準，準備相應的監督檢查所需材料，等級保護管理部門對等級保護對象定級、規劃設計、建設實施和運行管理等過程的監督檢查要求，等級保護管理部門應按照國家、行業相關等級保護監督檢查要求及標準，開展監督檢查工作。最終由監管部門輸出監督檢查材料、監督檢查結果報告等。

　　主管部門，運營、使用單位需要準備相應的監督檢查材料，配合等級保護管理部門檢查，確保等級保護對象符合安全保護相應等級的要求。

　　首先，作為網絡運營者接受公安機關監督檢查過程中，自查階段自然也與上篇文章里提到的自查和持續改進息息相關，這些工作都是相輔相成的，不可割裂的。因為，自查和持續改進目標是基于存在的風險隱患最終實現風險可控，網絡安全達到預期目的。與公安機關監督檢查最終要求一致，工作的目標也是一致的，我們所從事或參與的工作都是希望通過手段的好，最終獲得網絡安全這個內在的好。

　　這個階段的工作是由主管部門，運營、使用單位，等級保護管理部門共同完成。

　　以上是監督檢查的概況的描述，下面就監督檢查做個更細致的描述：

　　監督檢查：備案單位、行業主管部門、公安機關要分別建立并落實監督檢查機制，定期對《網絡安全法》、網絡安全等級保護制度各項要求的落實情況進行自查和監督檢查。在這個過程中，公安機關已經形成了一套較完備的監督檢查機制，并且已經執行多年，有關工作開展已經成為常態。

　　監督檢查分兩個大階段，定期自查與督導檢查、公安機關的監督檢查。第一個階段又可分為備案單位的定期自查、行業主管部門的督導檢查；第二階段又可分為檢查的原則和方法、檢查的主要內容、檢查整個要求、檢查工作要求、事件調查工作等。

　　備案單位的定期自查：這個過程要求備案單位按照《網絡安全法》和網絡安全等級保護制度，對網絡安全工作情況、等級保護工作落實情況進行自查，掌握網絡安全狀況、安全管理制度及技術保護措施的落實情況等，及時發現安全隱患和存在的突出問題，有針對性地采取技術和管理措施。

　　第三級網絡要求每年進行一次自查。自查完成后，網絡的安全狀況未達到安全保護等級要求的，網絡運營者需要進一步進行安全建設整改。所以上次說道，有好多單位私信問我為何他們“過了等?！惫矙C關還要求進行整改，到這里其實已經要求整改了。也就是，“過等保”不僅僅是一次測評或備案，而是時刻落實等保政策，從技術措施、管理措施持之以恒的加強防護，這才是“過等保”！“過等?！比缤斑^人生”，終點就是下篇公眾號探討的廢止。

　　整改不能簡單的理解是公安要求的，而是應該理解成是信息系統安全現狀與等級保護相關要求存在差距要求的，是系統本身存在安全風險要求的，是網絡安全要求的。

　　另外，要求網絡運營者積極配合公安機關的監督檢查工作，如實提供有關資料及文件。當網絡發生事件、案件時，備案單位還需要及時向受理備案的公安機關報告。

　　行業主管部門的督導檢查：這個屬于行業主管（監管）部門需要開展的工作，行業主管（監管）部門應組織制定本行業、本領域網絡安全等級保護工作規劃和標準規范，掌握網絡基本情況、定級備案情況和安全保護狀況；督促網絡運營者開展網絡定級備案、等級測評、風險評估、安全建設整改、安全自查等工作。

　　行業主管（監管）部門監督、檢查、指導本行業、本領域網絡運營者依據網絡安全等級保護制度和相關標準要求，落實網絡安全管理和技術保護措施，組織開展網絡安全防范、網絡安全事件應急處置、重大活動網絡安全保護等工作。

　　下面結合《網絡安全法與網絡安全等級保護》簡單說一下公安機關的監督檢查：

　　檢查的原則和方法：公安機關對網絡運營者依照國家法律法規規定和相關標準要求，落實網絡安全等級保護制度，開展網絡安全防范、網絡安全事件應急處置、重大活動網絡安全保衛等工作，實行監督管理；對第三級以上網絡運營者（含關鍵信息基礎設施運營者）按照網絡安全等級保護制度落實網絡基礎設施安全、網絡運行安全和數據安全保護責任義務，實行重點監督管理。

　　公安機關對同級行業主管（監管）部門依照國家法律法規規定和相關標準要求，組織督促本行業、本領域落實網絡安全等級保護制度，開展網絡安全防范、網絡安全事件應急處置、重大活動網絡安全保衛等工作情況，進行監督、檢查、指導。

　　公安機關參照公安部網絡安全保衛局下發的《公安機關網絡安全執法檢查工作指引》《政府信息系統及網站安全執法檢查工作指引（試行）》等指引， 開展網絡安全執法檢查工作。公安機關網安部門會從常規性檢查向深度檢查、延展檢查、閉環檢查轉變，充分運用對抗檢查、技術檢查等方式，對重要信息系統、重點網站及移動互聯網、云計算、大數據、工業控制系統、物聯網等新技術新應用的安全保護能力進行進行檢查。

　　檢查的主要內容：公安機關依法對網絡安全工作情況進行監督檢查，包括但不限于以下內容：

　　一是日常網絡安全防范工作。

　　二是重大網絡安全風險隱患整改情況。

　　三是重大網絡安全事件應急處置和恢復工作。

　　四是重大活動網絡安全保衛工作落實情況。

　　五是其他網絡安全工作情況。

　　這里插一句，上面檢查內容第一條則是日常網絡安全防范工作，也就是在落實等級保護工作過程中，是功夫在平時不能僅僅為了測評而測評，那樣都是“務虛”，而非“務實”，當然公安機關檢查也會對“務虛”的單位進行一定的勸誡或懲處。

　　公安機關對第三級以上網絡運營者（含關鍵信息基礎設施運營者）的日常網絡安全工作，會每年至少開展一次安全檢查。檢查時，可能會會同相關行業主管（監管）部門開展一起開展。當然公安機關認為有必要時，也會組織技術支持隊伍開展網絡安全專門技術檢測。

　　在公安機關依法開展監督檢查過程中，要求網絡運營者、行業主管（監管）部門協助、配合公安機關依法實施監督檢查，按照公安機關要求如實提供相關數據信息。

　　檢查整改要求：公安機關在監督檢查中發現網絡安全風險隱患的，會通知網絡運營者采取措施立即消除；不能及時消除的，也會責令限期整改。威脅到國家安全、公共安全和社會公共利益的，公安機關還會依法采取停止聯網、停機整頓等處置措施。

　　檢查工作要求：公安機關開展檢查工作，遵循“嚴格依法，熱情服務”的原則，遵守檢查紀律，規范檢查程序，主動、熱情地為網絡運營者提供服務和指導。

　　當然也要求網絡安全等級保護監督管理部門及其工作人員，必須對在履行職責中知悉的國家秘密、商業秘密、重要敏感信息和個人信息嚴格保密，不得泄露、出售或者非法向他人提供。

　　事件調查工作：公安機關會根據有關規定處置網絡安全事件，開展事件調查，認定事件責任，查處危害網絡安全的違法犯罪活動。

　　公安機關在事件調查處置過程中，必要時依法會責令網絡運營者采取阻斷信息傳輸、暫停網絡運行、備份相關數據等緊急措施。

　　當然，作為網絡運營者應當為公安機關、有關部門開展事件調查和處置提供支持和協助，為公安機關、國家安全機關依法維護國家安全和偵查犯罪的活動提供技術支持和協助。

　　對網絡服務機構的監督管理：公安機關對網絡安全等級保護測評機構的監督管理是貫徹整個測評各個環節的，公安機關對網絡安全等級保護測評機構、測評人員及其測評活動進行監督管理，發現有違反規定行為的，會責令整改；情形嚴重的，將其從等級保護測評機構目錄中移除。

　　公安機關依法對等級測評機構及其人員進行監督管理，發現有違反規定行為的，會要求責令整改；情形嚴重的，同時也會從等級保護測評機構目錄中移除。

　　公安機關對從事網絡建設、運維、安全監測、檢測認證、風險評估等網絡服務機構、服務人員及其服務活動進行監督管理，發現有違反管理規定行為的，會責令其整改，并對關鍵崗位的服務人員進行安全背景審查。

　　也就是公安機關在整個等級保護工作的各個環節都進行監管，而無論是那個環節公安機關都有依法處罰的權力。所以等級保護工作是一個常態化工作，不存在一勞永逸，更不可能指望做一次測評就可以萬事大吉，枕著枕頭睡大覺，那是不現實的，出了安全事件或事故，無論單位還是個人都需要承擔責任的。

　　公安機關對網絡運營者進行監督檢查是每年的常態化工作，是年年有，年年有共同點，也年年新的一個常態工作。只有在日常工作中，扎實開展網絡安全保護工作，才能輕松應對安全主管部門的監督檢查。做好工作要里子面子都有，而不是應付工作，那樣臨檢時還是會漏洞百出，另外也違背了如實提供材料的原則，因此也是需要承擔責任的。

　　網絡安全工作的開展最終也離不開以“誠”落“實”，達到網絡“真”安全！落實網絡安全等級保護制度，切實采取安全防護措施，做好安全運行維護，認真開展自查，查漏補缺，如實向監管機構提供監督檢查資料。這是正確履行責任以及降低安全風險，降低安全責任的最佳途徑。

　　如果，你從《網絡安全等級保護：如何各方共同參與做好定級與備案工作》一直看到這篇公眾號的話，基本這才是過等保的粗略過程，而測評在整個落實等級保護過程中是不可或缺的，但是沒有這個整體落實等保的扎實工作過程，測評結果是不可能理想的。有句話“莫問收獲，但問耕耘”雖是儒家的一個心態，但是工作生活中只要方向對了，耕耘好了自然收獲理論上也不會差，但是若“莫問耕耘，但問收獲”，也只能是收獲稗草秕糠而已。

　　讓我們一起為祖國的網絡安全各盡一份心力！