8.2 批準監督過程

批準監督的過程包括批準申請、批準處理和持續監督三個階段。在信息安全風險管理過程中，接受風險處理的輸出，是一次信息安全風險管理活動的終點，監控審查和溝通咨詢貫穿其三個階段，如圖18所示。

8.2.1　批準申請

1、過程

2、說明
如圖19所示，批準申請階段的工作過程和內容如下：
1）提交批準申請。申請者填寫批準申請書后，連同批準材料一并提交給批準機構。批準材料內容包括風險管理過程中輸出的文檔、軟件和硬件等結果。批準申請書內容包括批準的范圍、對象和期望，以及申請者的基本信息和簽字等。批準機構由在信息系統和信息安全風險管理的決策層中負責重大決定的主管者構成。
2）受理批準申請。批準機構接收批準申請書和審核結論報告并審查通過后，返回批準受理回執。批準受理回執內容包括同意受理、補充材料的要求和提交時間（如果需要），以及批準機構的名稱和簽章等。

8.2.2　批準處理

1、過程

2、說明
如圖20所示，批準處理階段的工作過程和內容如下：
1）審閱批準材料。批準機構依據機構的使命和信息系統的安全要求報告，按照批準的原則、規定和程序，對批準材料進行審閱，與相關人員進行討論和溝通，為批準決定做準備。
2）做出批準決定。批準機構按照批準的原則、規定和程序，判斷信息系統的安全要求是否得到滿足，機構的信息安全保障級別是否達到其使命所需要的等級，依此做出批準決定，形成批準決定書，交付申請者。批準決定書內容包括批準的范圍、對象、意見、結論（即是否通過）和有效期，以及批準機構的名稱和簽章等。如果通過批準，則進入持續監督階段；否則，結束本次信息安全風險管理的循環，啟動新一輪循環進行改進。

8.2.3　持續監督

1、過程

如圖21所示，持續監督階段的工作過程和內容如下：

1）檢查是否過期。如果批準有效期到期，則發出批準到期通知書。通知書的內容包括到期的時間和重新申請的要求，以及批準機構的名稱和簽章。批準有效期到期，需重新開始批準監督過程。

2）檢查有無變化。一是檢查機構及其信息系統有無變化，比如，機構的使命、業務、組織結構、管理制度和技術平臺等方面發展和變更；二是檢查信息安全相關的環境有無變化，比如，新出臺的安全相關的法律、法規、政策和標準，新的安全風險等。如果有變化，則分別給出機構變化因素的描述報告和環境變化因素的描述報告。描述報告的內容包括變化因素的列表、說明和安全隱患分析等。如果變化因素可能引入新的安全隱患并影響到安全保障級別，則結束本次信息安全風險管理的循環，啟動新一輪循環進行風險評估和風險處理。