4.批准监督
批准监督包括批准和持续监督两部分。
批准,是指机构的决策层依据风险评估和风险处理的结果是否满足信息系统的安全要求,做出是否认可风险管理活动的决定。批准应由机构内部或更高层的主管机构的决策层来执行。
持续监督,是指检查机构及其信息系统以及信息安全相关的环境有无变化,监督变化因素是否有可能引入新的安全隐患并影响到信息系统的安全保障级别。监督通常由机构内部管理层和执行层完成,必要时也可以委托支持层的外部专业机构提供支持,这主要取决于信息系统的性质和机构自身的专业能力。
对风险评估和风险处理的结果的批准和持续监督,不能仅依据相关标准进行僵化的对比,。而是需要紧紧围绕信息系统所承载的业务,通过对业务的重要性和业务遭受损失后所带来的影响来开展相关工作。批准通过的依据(原则)有两个,一是信息系统的残余风险是可
接受的,二是安全措施能够满足信息系统当前业务的安全需求。 批准监督包括批准申请、批准处理和持续监督三个阶段。