等級測評過程分爲四個測評階段：

測評準備、方案編制、現(xiàn)場測評及分析和(hé)報(bào)告編制測評雙方之間的溝通與洽談貫穿整個等級測評過程

• 

  測評準備

  本階段是開(kāi)展等級測評工(gōng)作(zuò)的前提和(hé)基礎，是整個等級測評過程有效性的保證。測評準備工(gōng)作(zuò)是否充分直接關系到(dào)後續工(gōng)作(zuò)能(néng)否順利開(kāi)展。本階段的主要任務是掌握被測系統的詳細情況，爲實施測評做好(hǎo)文(wén)檔及測試工(gōng)具等方面的準備。
• 

  方案編制

  本階段是開(kāi)展等級測評工(gōng)作(zuò)的關鍵，爲現(xiàn)場測評提供最基本的文(wén)檔和(hé)指導方案。本階段的主要任務是開(kāi)發與被測信息系統相适應的測評内容、測評實施手冊等，形成測評方案。
• 

  現(xiàn)場測評

  本階段是開(kāi)展等級測評工(gōng)作(zuò)的核心活動。主要任務是依據測評方案的總體要求，嚴格執行測評實施手冊，分步實施所有測評項目，包括單項測評和(hé)系統整體測評兩個方面，以了(le)解系統的真實保護情況，獲取足夠證據，發現(xiàn)系統存在的安全問題。
• 

  分析與報(bào)告編制

  本階段是給出等級測評工(gōng)作(zuò)結果的活動，是總結被測系統整體安全保護能(néng)力的綜合評價活動。本階段的主要任務是根據現(xiàn)場測評結果和(hé)GB/T 22239-2019的有關要求，通過單項測評結果判定和(hé)系統整體測評分析等方法，分析整個系統的安全保護現(xiàn)狀與相應等級的保護要求之間的差距，綜合評價被測信息系統保護狀況，并形成測評報(bào)告文(wén)本。

測評方法一般包括訪談、文(wén)檔審查、配置檢查、工(gōng)具測試和(hé)實地察看(kàn)五個方面

• 訪談

  測評人員與被測系統有關人員（個人/群體）進行交流、讨論等活動，獲取相關證據，了(le)解有關信息。在訪談範圍上(shàng)，不同等級信息系統在測評時(shí)有不同的要求，一般應基本覆蓋所有的安全相關人員類型，在數量上(shàng)可以抽樣。
• 文(wén)檔審查

  1）檢查GB/T 22239-2019中規定的必須具有的制度、策略、操作(zuò)規程等文(wén)檔是否齊備。
  2）檢查是否有完整的制度執行情況記錄，如機房出入登記記錄、電子記錄、高(gāo)等級系統的關鍵設備的使用(yòng)登記記錄等。
  3）對(duì)上(shàng)述文(wén)檔進行審核與分析，檢查他(tā)們的完整性和(hé)這(zhè)些(xiē)文(wén)件之間的内部一緻性。
• 配置檢查

  1）根據測評結果記錄表格内容，利用(yòng)上(shàng)機驗證的方式檢查應用(yòng)系統、主機系統、數據庫系統以及網絡設備的配置是否正确，是否與文(wén)檔、相關設備和(hé)部件保持一緻，對(duì)文(wén)檔審核的内容進行核實（包括日志審計(jì)等）。
  2）如果系統在輸入無效命令時(shí)不能(néng)完成其功能(néng)，将要對(duì)其進行錯誤測試。
  3）針對(duì)網絡連接，應對(duì)連接規則進行驗證。
• 工(gōng)具測試

  1）根據測評方案，利用(yòng)技術工(gōng)具對(duì)系統進行測試，包括基于網絡探測和(hé)基于主機審計(jì)的漏洞掃描、滲透性測試、性能(néng)測試、入侵檢測和(hé)協議(yì)分析等。
  2）備份測試結果。
• 實地察看(kàn)

  1）根據被測系統的實際情況，測評人員到(dào)系統運行現(xiàn)場通過實地的觀察人員行爲、技術設施和(hé)物理(lǐ)環境狀況判斷人員的安全意識、業務操作(zuò)、管理(lǐ)程序和(hé)系統物理(lǐ)環境等方面的安全情況，測評其是否達到(dào)了(le)相應等級的安全要求。