前面，我們談到2007年的1360號文，從公安部初版的《信息安全等級保護政策培訓教程》中，我們發(fā)現(xiàn)全國重要信息系統(tǒng)等級保護定級工作完成后，公安部向中央的領導同志做了專報《關于全國重要信息系統(tǒng)安全等級保護定級工作情況的報告》（公部 [2008]11號），并得到中央領導批示，我們無從得知這個專報的具體內(nèi)容，相信也是等級保護路上的一個關鍵性的文件。那么，在2008年還有一些我們能夠直接看得到的政策文件，其中有一個是規(guī)范公安機關的文件，那就是《公安機關信息安全等級保護檢查工作規(guī)范（試行）》（公信安【2008】736號）。

　　該規(guī)范的制定依據(jù)還是《信息安全等級保護管理辦法》，其目的和作用是為規(guī)范公安機關公共信息網(wǎng)絡安全監(jiān)察部門開展信息安全等級保護檢查工作。公安機關主要是對非涉密重要信息系統(tǒng)運營使用單位等級保護工作開展和落實情況進行檢查，督促、檢查其建設安全設施、落實安全措施、建立并落實安全管理制度、落實安全責任、落實責任部門和人員，為公安在開展等級保護檢查工作中提供了規(guī)范。

　　信息安全等級保護檢查工作不是任何層級的公安都參與的一項工作，而是由市（地）級以上公安機關公共信息網(wǎng)絡安全監(jiān)察部門負責實施。每年對第三級信息系統(tǒng)的運營使用單位信息安全等級保護工作檢查一次，每半年對第四級信息系統(tǒng)的運營使用單位信息安全等級保護工作檢查一次。

　　如今，第四級等級保護對象也是每一年測評一次，那么相對應的檢查可能也要與之匹配了。具體情況，以各地公安實際情況為準。

　　圖片

　　信息安全等級保護檢查工作的方式是采取詢問情況，查閱、核對材料，調(diào)看記錄、資料，現(xiàn)場查驗等。

　　檢查內(nèi)容則包括：

　　（一）等級保護工作組織開展、實施情況。安全責任落實情況，信息系統(tǒng)安全崗位和安全管理人員設置情況；

　　（二）按照信息安全法律法規(guī)、標準規(guī)范的要求制定具體實施方案和落實情況；

　　（三）信息系統(tǒng)定級備案情況，信息系統(tǒng)變化及定級備案變動情況；

　　（四）信息安全設施建設情況和信息安全整改情況；

　　（五）信息安全管理制度建設和落實情況；

　　（六）信息安全保護技術措施建設和落實情況；

　　（七）選擇使用信息安全產(chǎn)品情況；

　　（八）聘請測評機構按規(guī)范要求開展技術測評工作情況，根據(jù)測評結果開展整改情況；

　　（九）自行定期開展自查情況；

　　（十）開展信息安全知識和技能培訓情況。

　　檢查項目包括：（一）等級保護工作部署和組織實施情況；（二）信息系統(tǒng)安全等級保護定級備案情況；（三）信息安全設施建設情況和信息安全整改情況；（四）信息安全管理制度建立和落實情況；（五）信息安全產(chǎn)品選擇和使用情況；（六）聘請測評機構開展技術測評工作情況；（七）定期自查情況；這七項，各自對應有詳細要求，在此試舉例（一）等級保護工作部署和組織實施情況1.下發(fā)開展信息安全等級保護工作的文件，出臺有關工作意見或方案，組織開展信息安全等級保護工作情況。2.建立或明確安全管理機構，落實信息安全責任，落實安全管理崗位和人員。3.依據(jù)國家信息安全法律法規(guī)、標準規(guī)范等要求制定具體信息安全工作規(guī)劃或?qū)嵤┓桨浮?.制定本行業(yè)、本部門信息安全等級保護行業(yè)標準規(guī)范并組織實施。

　　公安機關遵循的是“誰受理備案，誰負責檢查”的原則開展檢查工作，規(guī)范賦予公安可以會同其他主管部門，也可以自行開展檢查的權力等。以及在檢查過程中，公安機關發(fā)現(xiàn)不符合信息安全等級保護有關管理規(guī)范和技術標準要求，通知其運營使用單位限期整改，并發(fā)送《信息系統(tǒng)安全等級保護限期整改通知書》等。

　　該規(guī)范即講明了公安機關檢查的內(nèi)容和項目，也明確了公安機關可以依據(jù)有關法律法規(guī)要求信息系統(tǒng)運營使用單位及時整改，以及對拒不整改者進行行政處罰等，還對公安人員在對我們信息系統(tǒng)運營使用單位檢查時進行了規(guī)范。

　　該規(guī)范，為公安機關開展檢查工作提供了指引，是公安機關開展檢查工作的重要抓手。同時，也是明確了信息系統(tǒng)運營使用單位臨檢前應該注意或準備有關資料和內(nèi)容。

　　迎檢單位也就是網(wǎng)絡運營者則應該明白一點，就是在公安機關檢查過程中，迎檢材料必須是日常踏踏實實工作產(chǎn)生的真實合規(guī)材料，是一個合規(guī)要求和內(nèi)部管理制度相契合，結合自身信息系統(tǒng)環(huán)境落地產(chǎn)生的。所以，信息系統(tǒng)運營使用單位的工作要在平時做扎實，而不是臨時抱佛腳胡亂弄一通造一些所謂的“迎檢資料”，那樣對信息系統(tǒng)安全毫無益處，發(fā)生安全事件時，這些造假的材料絕對幫助不了自己單位提升網(wǎng)絡安全，也不會能規(guī)避責任，最終只是竹籃打水一場空，無濟于事。

　　工作要扎實，材料要真實，用心開展工作，做名副其實的合規(guī)性工作，自然可以滿足公安機關檢查要求，又能真實提升自身信息系統(tǒng)安全，還能在工作中體現(xiàn)自身價值。只有人人都提升安全意識，做好安全工作，才能帶來地區(qū)性的網(wǎng)絡安全水平的提升。所謂網(wǎng)絡安全為人民，網(wǎng)絡安全靠人民，做好網(wǎng)絡安全工作也是為人民服務，我們每一個從業(yè)者又是網(wǎng)絡安全的依靠。