认证监督阶段
    本阶段的目的是认证中心监督信息系统中的安全保证措施的实施情况，并在发生了有可能影响到信息系统安全的变更时告知信息系统主管部门代表。
    认证中心从以下三方面测试并确认信息系统安全保证措施在实际运行中的持续有效性:
    1.配置管理和控制
    需要信息系统的所有者持续记录信息系统中的发生变更，认证中心将定期评价并确认变更为信息系统安全带来的影响。
    2. 对安全保证措施的监督检查
认证中心将对安全保证措施的实施情况进行现场监督，检查信息系统运行环境、操作程序、人员控制以及物理安全等保证措施的实施情况，确定在信息系统运行阶段没有引入任何不可接受的风险。
    3. 认证监督决定
    认证中心按照中国信息安全认证体系的监督要求，综合对配置管理变更的安全影响分析和现场监督检查报告，形成认证监督报告，作出信息系统的安全性是否持续有效的认证监督决定。    
    信息系统主管部门代表将从信息系统所有者或认证中心获得最终的信息系统安全认证监督报告，决定批准更新信息系统的安全计划及安全方案，从而确保信息系统面临的安全风险的持续可接受度。
    认证监督将一直持续到信息系统的安全性需要重新认可时为止。信息系统的重新安全认可通常是由于系统中发生了某些特定的重大变化，或是根据信息系统的安全性认可程序规定的重新认证年限要求来定期进行。