6.5 風險監督和檢查

風險監督和檢查的目的是確保組織的風險在可接受范圍內。ICT供應鏈的風險是動態的。威脅、脆弱性、風險可能性、風險影響等均可能會隨著組織業務的變化而改變。組織應設置風險監督和檢查計劃，監視風險管理活動，定期評審控制措施，及時調整范圍邊界。

宜持續監督和檢查以下事項：

? 資產新增以及資產價值發生變更的情況；

? 新增的威脅、脆弱性；

? 已評估的威脅、脆弱性和風險因聚合導致的不可接受的風險；

? ICT供應鏈安全事件。

注：見GB/T 31722-2015中第12章。