4.批準監(jiān)督

批準監(jiān)督包括批準和持續(xù)監(jiān)督兩部分。

批準，是指機構(gòu)的決策層依據(jù)風險評估和風險處理的結(jié)果是否滿足信息系統(tǒng)的安全要求，做出是否認可風險管理活動的決定。批準應由機構(gòu)內(nèi)部或更高層的主管機構(gòu)的決策層來執(zhí)行。

持續(xù)監(jiān)督，是指檢查機構(gòu)及其信息系統(tǒng)以及信息安全相關(guān)的環(huán)境有無變化，監(jiān)督變化因素是否有可能引入新的安全隱患并影響到信息系統(tǒng)的安全保障級別。監(jiān)督通常由機構(gòu)內(nèi)部管理層和執(zhí)行層完成，必要時也可以委托支持層的外部專業(yè)機構(gòu)提供支持，這主要取決于信息系統(tǒng)的性質(zhì)和機構(gòu)自身的專業(yè)能力。

對風險評估和風險處理的結(jié)果的批準和持續(xù)監(jiān)督，不能僅依據(jù)相關(guān)標準進行僵化的對比，。而是需要緊緊圍繞信息系統(tǒng)所承載的業(yè)務，通過對業(yè)務的重要性和業(yè)務遭受損失后所帶來的影響來開展相關(guān)工作。批準通過的依據(jù)（原則）有兩個，一是信息系統(tǒng)的殘余風險是可

接受的，二是安全措施能夠滿足信息系統(tǒng)當前業(yè)務的安全需求。 批準監(jiān)督包括批準申請、批準處理和持續(xù)監(jiān)督三個階段。