3)持續監督階段包括檢查是否到期、檢查有無變化兩個工作過程。

檢查是否到期，是檢查是否臨近《批準決定書》中設定的批準有效期。如果批準有效期到期，則發出《批準到期通知書》，通知書應包括到期的時間和重新申請的要求，以及批準機構的名稱和簽章。批準有效期到期，需重新開始批準監督過程。

檢查有無變化，一是應檢查機構及其信息系統有無變化，比如，機構的使命、業務、 組織結構、管理制度和技術平臺等方面的發展和變更；二是檢查信息安全相關的環境有無變化，比如，新出臺的安全相關的法律、法規、政策和標準，新的安全風險等。如果有變化， 則應分別給出《機構變化因素的描述報告》和《環境變化因素的描述報告》。描述報告應包括變化因素的列表、說明和安全隱患分析等內容。如果變化因素可能引入新的安全隱患并影響到安全保障級別，則結束本次信息安全風險管理的循環，啟動新一輪循環進行風險評估和風險處理。