3)持续监督阶段包括检查是否到期、检查有无变化两个工作过程。
检查是否到期,是检查是否临近《批准决定书》中设定的批准有效期。如果批准有效期到期,则发出《批准到期通知书》,通知书应包括到期的时间和重新申请的要求,以及批准机构的名称和签章。批准有效期到期,需重新开始批准监督过程。
检查有无变化,一是应检查机构及其信息系统有无变化,比如,机构的使命、业务、 组织结构、管理制度和技术平台等方面的发展和变更;二是检查信息安全相关的环境有无变化,比如,新出台的安全相关的法律、法规、政策和标准,新的安全风险等。如果有变化, 则应分别给出《机构变化因素的描述报告》和《环境变化因素的描述报告》。描述报告应包括变化因素的列表、说明和安全隐患分析等内容。如果变化因素可能引入新的安全隐患并影响到安全保障级别,则结束本次信息安全风险管理的循环,启动新一轮循环进行风险评估和风险处理。