2)檢查評估

由被評估組織的上級主管機(jī)關(guān)或業(yè)務(wù)主管機(jī)關(guān)發(fā)起的，依據(jù)國家有關(guān)法規(guī)與標(biāo)準(zhǔn)，對信息系統(tǒng)及其管理進(jìn)行的具有強(qiáng)制性的檢查活動。

檢查評估可依據(jù)相關(guān)標(biāo)準(zhǔn)的要求，實(shí)施完整的風(fēng)險評估過程。檢查評估也可在自評估實(shí)施的基礎(chǔ)上，對關(guān)鍵環(huán)節(jié)或重點(diǎn)內(nèi)容實(shí)施抽樣評估，包括以下內(nèi)容（但不僅限于）：自評估隊伍及技術(shù)人員審查、自評估方法的檢查、自評估過程控制與文檔記錄檢查、自評估資產(chǎn)列表審查、自評估威脅列表審查、自評估脆弱性列表審查、現(xiàn)有安全措施有效性檢查、自評估結(jié)果審查與采取相應(yīng)措施的跟蹤檢查、自評估技術(shù)技能限制未完成項(xiàng)目的檢查評估、上級關(guān)注或要求的關(guān)鍵環(huán)節(jié)和重點(diǎn)內(nèi)容的檢查評估、軟硬件維護(hù)制度及實(shí)施管理的檢查及突發(fā)事件應(yīng)對措施的檢查。

檢查評估也可委托風(fēng)險評估服務(wù)技術(shù)支持方實(shí)施，但評估結(jié)果僅對檢查評估的發(fā)起單位負(fù)責(zé)。由于檢查評估代表了主管機(jī)關(guān)，涉及評估對象也往往較多，因此，要對實(shí)施檢查評估機(jī)構(gòu)的資質(zhì)進(jìn)行嚴(yán)格管理。