等級測評過程分(fēn)為(wèi)四個測評階段：

測評準備、方案編制、現場測評及分(fēn)析和報告編制測評雙方之間的溝通與洽談貫穿整個等級測評過程

• 

  測評準備

  本階段是開展等級測評工(gōng)作(zuò)的前提和基礎，是整個等級測評過程有(yǒu)效性的保證。測評準備工(gōng)作(zuò)是否充分(fēn)直接關系到後續工(gōng)作(zuò)能(néng)否順利開展。本階段的主要任務(wù)是掌握被測系統的詳細情況，為(wèi)實施測評做好文(wén)檔及測試工(gōng)具(jù)等方面的準備。
• 

  方案編制

  本階段是開展等級測評工(gōng)作(zuò)的關鍵，為(wèi)現場測評提供最基本的文(wén)檔和指導方案。本階段的主要任務(wù)是開發與被測信息系統相适應的測評内容、測評實施手冊等，形成測評方案。
• 

  現場測評

  本階段是開展等級測評工(gōng)作(zuò)的核心活動。主要任務(wù)是依據測評方案的總體(tǐ)要求，嚴格執行測評實施手冊，分(fēn)步實施所有(yǒu)測評項目，包括單項測評和系統整體(tǐ)測評兩個方面，以了解系統的真實保護情況，獲取足夠證據，發現系統存在的安(ān)全問題。
• 

  分(fēn)析與報告編制

  本階段是給出等級測評工(gōng)作(zuò)結果的活動，是總結被測系統整體(tǐ)安(ān)全保護能(néng)力的綜合評價活動。本階段的主要任務(wù)是根據現場測評結果和GB/T 22239-2019的有(yǒu)關要求，通過單項測評結果判定和系統整體(tǐ)測評分(fēn)析等方法，分(fēn)析整個系統的安(ān)全保護現狀與相應等級的保護要求之間的差距，綜合評價被測信息系統保護狀況，并形成測評報告文(wén)本。

測評方法一般包括訪談、文(wén)檔審查、配置檢查、工(gōng)具(jù)測試和實地察看五個方面

• 訪談

  測評人員與被測系統有(yǒu)關人員（個人/群體(tǐ)）進行交流、讨論等活動，獲取相關證據，了解有(yǒu)關信息。在訪談範圍上，不同等級信息系統在測評時有(yǒu)不同的要求，一般應基本覆蓋所有(yǒu)的安(ān)全相關人員類型，在數量上可(kě)以抽樣。
• 文(wén)檔審查

  1）檢查GB/T 22239-2019中(zhōng)規定的必須具(jù)有(yǒu)的制度、策略、操作(zuò)規程等文(wén)檔是否齊備。
  2）檢查是否有(yǒu)完整的制度執行情況記錄，如機房出入登記記錄、電(diàn)子記錄、高等級系統的關鍵設備的使用(yòng)登記記錄等。
  3）對上述文(wén)檔進行審核與分(fēn)析，檢查他(tā)們的完整性和這些文(wén)件之間的内部一緻性。
• 配置檢查

  1）根據測評結果記錄表格内容，利用(yòng)上機驗證的方式檢查應用(yòng)系統、主機系統、數據庫系統以及網絡設備的配置是否正确，是否與文(wén)檔、相關設備和部件保持一緻，對文(wén)檔審核的内容進行核實（包括日志(zhì)審計等）。
  2）如果系統在輸入無效命令時不能(néng)完成其功能(néng)，将要對其進行錯誤測試。
  3）針對網絡連接，應對連接規則進行驗證。
• 工(gōng)具(jù)測試

  1）根據測評方案，利用(yòng)技(jì )術工(gōng)具(jù)對系統進行測試，包括基于網絡探測和基于主機審計的漏洞掃描、滲透性測試、性能(néng)測試、入侵檢測和協議分(fēn)析等。
  2）備份測試結果。
• 實地察看

  1）根據被測系統的實際情況，測評人員到系統運行現場通過實地的觀察人員行為(wèi)、技(jì )術設施和物(wù)理(lǐ)環境狀況判斷人員的安(ān)全意識、業務(wù)操作(zuò)、管理(lǐ)程序和系統物(wù)理(lǐ)環境等方面的安(ān)全情況，測評其是否達到了相應等級的安(ān)全要求。