3)持續(xù)監(jiān)督階段包括檢查是否到期、檢查有無變化兩個工作過程。

檢查是否到期，是檢查是否臨近《批準決定書》中設定的批準有效期。如果批準有效期到期，則發(fā)出《批準到期通知書》，通知書應包括到期的時間和重新申請的要求，以及批準機構的名稱和簽章。批準有效期到期，需重新開始批準監(jiān)督過程。

檢查有無變化，一是應檢查機構及其信息系統(tǒng)有無變化，比如，機構的使命、業(yè)務、 組織結構、管理制度和技術平臺等方面的發(fā)展和變更；二是檢查信息安全相關的環(huán)境有無變化，比如，新出臺的安全相關的法律、法規(guī)、政策和標準，新的安全風險等。如果有變化， 則應分別給出《機構變化因素的描述報告》和《環(huán)境變化因素的描述報告》。描述報告應包括變化因素的列表、說明和安全隱患分析等內(nèi)容。如果變化因素可能引入新的安全隱患并影響到安全保障級別，則結束本次信息安全風險管理的循環(huán)，啟動新一輪循環(huán)進行風險評估和風險處理。