2)檢查評估

由被評估組織的上級主管機關或業務主管機關發起的，依據國家有關法規與標準，對信息系統及其管理進行的具有強制性的檢查活動。

檢查評估可依據相關標準的要求，實施完整的風險評估過程。檢查評估也可在自評估實施的基礎上，對關鍵環節或重點內容實施抽樣評估，包括以下內容（但不僅限于）：自評估隊伍及技術人員審查、自評估方法的檢查、自評估過程控制與文檔記錄檢查、自評估資產列表審查、自評估威脅列表審查、自評估脆弱性列表審查、現有安全措施有效性檢查、自評估結果審查與采取相應措施的跟蹤檢查、自評估技術技能限制未完成項目的檢查評估、上級關注或要求的關鍵環節和重點內容的檢查評估、軟硬件維護制度及實施管理的檢查及突發事件應對措施的檢查。

檢查評估也可委托風險評估服務技術支持方實施，但評估結果僅對檢查評估的發起單位負責。由于檢查評估代表了主管機關，涉及評估對象也往往較多，因此，要對實施檢查評估機構的資質進行嚴格管理。