7.3 檢查評估

檢查評估是指信息系統上級管理部門組織的或國家有關職能部門依法開展的風險評估。
檢查評估可依據本標準的要求，實施完整的風險評估過程。
檢查評估也可在自評估實施的基礎上，對關鍵環節或重點內容實施抽樣評估，包括以下內容（但不僅限于）：
a）自評估隊伍及技術人員審查；
b）自評估方法的檢查；
c）自評估過程控制與文檔記錄檢查；
d）自評估資產列表審查；
e）自評估威脅列表審查；
f）自評估脆弱性列表審查；
g）現有安全措施有效性檢查；
h）自評估結果審查與采取相應措施的跟蹤檢查；
i）自評估技術技能限制未完成項目的檢查評估；
j）上級關注或要求的關鍵環節和重點內容的檢查評估；
k）軟硬件維護制度及實施管理的檢查；
l）突發事件應對措施的檢查。
檢查評估也可委托風險評估服務技術支持方實施，但評估結果僅對檢查評估的發起單位負責。由于檢查評估代表了主管機關，涉及評估對象也往往較多，因此，要對實施檢查評估機構的資質進行嚴格管理。