风险评估方式之检查评估

2)检查评估

由被评估组织的上级主管机关或业务主管机关发起的，依据国家有关法规与标准，对信息系统及其管理进行的具有强制性的检查活动。

检查评估可依据相关标准的要求，实施完整的风险评估过程。检查评估也可在自评估实施的基础上，对关键环节或重点内容实施抽样评估，包括以下内容（但不仅限于）：自评估队伍及技术人员审查、自评估方法的检查、自评估过程控制与文档记录检查、自评估资产列表审查、自评估威胁列表审查、自评估脆弱性列表审查、现有安全措施有效性检查、自评估结果审查与采取相应措施的跟踪检查、自评估技术技能限制未完成项目的检查评估、上级关注或要求的关键环节和重点内容的检查评估、软硬件维护制度及实施管理的检查及突发事件应对措施的检查。

检查评估也可委托风险评估服务技术支持方实施，但评估结果仅对检查评估的发起单位负责。由于检查评估代表了主管机关，涉及评估对象也往往较多，因此，要对实施检查评估机构的资质进行严格管理。