4.批準監督

批準監督包括批準和持續監督兩部分。

批準，是指機構的決策層依據風險評估和風險處理的結果是否滿足信息系統的安全要求，做出是否認可風險管理活動的決定。批準應由機構內部或更高層的主管機構的決策層來執行。

持續監督，是指檢查機構及其信息系統以及信息安全相關的環境有無變化，監督變化因素是否有可能引入新的安全隱患并影響到信息系統的安全保障級別。監督通常由機構內部管理層和執行層完成，必要時也可以委托支持層的外部專業機構提供支持，這主要取決于信息系統的性質和機構自身的專業能力。

對風險評估和風險處理的結果的批準和持續監督，不能僅依據相關標準進行僵化的對比，。而是需要緊緊圍繞信息系統所承載的業務，通過對業務的重要性和業務遭受損失后所帶來的影響來開展相關工作。批準通過的依據（原則）有兩個，一是信息系統的殘余風險是可

接受的，二是安全措施能夠滿足信息系統當前業務的安全需求。 批準監督包括批準申請、批準處理和持續監督三個階段。