2)檢查評估

由被評估組織的上級主管機關或業(yè)務主管機關發(fā)起的，依據(jù)國家有關法規(guī)與標準，對信息系統(tǒng)及其管理進行的具有強制性的檢查活動。

檢查評估可依據(jù)相關標準的要求，實施完整的風險評估過程。檢查評估也可在自評估實施的基礎上，對關鍵環(huán)節(jié)或重點內容實施抽樣評估，包括以下內容（但不僅限于）：自評估隊伍及技術人員審查、自評估方法的檢查、自評估過程控制與文檔記錄檢查、自評估資產(chǎn)列表審查、自評估威脅列表審查、自評估脆弱性列表審查、現(xiàn)有安全措施有效性檢查、自評估結果審查與采取相應措施的跟蹤檢查、自評估技術技能限制未完成項目的檢查評估、上級關注或要求的關鍵環(huán)節(jié)和重點內容的檢查評估、軟硬件維護制度及實施管理的檢查及突發(fā)事件應對措施的檢查。

檢查評估也可委托風險評估服務技術支持方實施，但評估結果僅對檢查評估的發(fā)起單位負責。由于檢查評估代表了主管機關，涉及評估對象也往往較多，因此，要對實施檢查評估機構的資質進行嚴格管理。