风险管理过程之批准监督中的持续监督阶段

3)持续监督阶段包括检查是否到期、检查有无变化两个工作过程。

检查是否到期，是检查是否临近《批准决定书》中设定的批准有效期。如果批准有效期到期，则发出《批准到期通知书》，通知书应包括到期的时间和重新申请的要求，以及批准机构的名称和签章。批准有效期到期，需重新开始批准监督过程。

检查有无变化，一是应检查机构及其信息系统有无变化，比如，机构的使命、业务、 组织结构、管理制度和技术平台等方面的发展和变更；二是检查信息安全相关的环境有无变化，比如，新出台的安全相关的法律、法规、政策和标准，新的安全风险等。如果有变化， 则应分别给出《机构变化因素的描述报告》和《环境变化因素的描述报告》。描述报告应包括变化因素的列表、说明和安全隐患分析等内容。如果变化因素可能引入新的安全隐患并影响到安全保障级别，则结束本次信息安全风险管理的循环，启动新一轮循环进行风险评估和风险处理。