8.1 批準監督概述

8.1.1　批準監督的概念

批準監督是信息安全風險管理的第四步驟，包括批準和持續監督兩部分：批準是指機構的決策層依據風險評估和風險處理的結果是否滿足信息系統的安全要求，做出是否認可風險管理活動的決定；持續監督是指檢查機構及其信息系統以及信息安全相關的環境有無變化，監督變化因素是否有可能引入新的安全隱患并影響到信息系統的安全保障級別。

8.1.2　批準監督的原則

對風險評估和風險處理的結果的批準和持續監督，不是僅依據相關標準進行僵化的比對過程，而是緊緊圍繞著信息系統所承載的業務，通過對業務的重要性和業務遭受損失后所帶來的影響來開展相關工作。批準通過的依據有兩個：（1）信息系統的殘余風險是可接受的；（2）安全措施（包括風險評估和風險處理）滿足信息系統當前業務的安全需求。