测评范围可以是系统组织全部信息及与信息处理相关的各类资产、管理机构，也可以是某个独立信息系统、关键业务流程等。

测评实施团队应由被测评组织、测评机构等共同组建测评小组；由被测评组织领导、相关部门负责人，以及测评机构相关人员成立测评工作领导小组；聘请相关专业的技术专家和技术骨干组成专家组。

为保障测评工作的顺利开展，确立工作目标、统一思想、协调各方资源，应召开测评实施工作启动会议。

因业务、行业、主管部门、地区等不同，系统测评标准依据存在个性化差异。

主机检查、检查、检查、中间件检查、检查、专用业务检查、协议检查、口令检查、安全设备检查、网络设备检查、性能压力检查等

通常测评方案给出具体的现场测评的工作思路、方法、方式和具体测评对象及其内容。测评方案应得到被评估组织的确认和认可。

在测评工作中，可能需要测评双方多次沟通，就测评具体细节进行协调。

文档是测评工作的最终体现方式，应该确保文档资料的完整性、准确性和安全性。

测评工作自身也存在风险，一是结果是否准确有效，能够达到预先目标存在风险；二是测评中的某些测试操作可能给被测评组织或信息系统引入新的风险。应通过技术培训和保密教育、制定测评过程管理相关规定、编制应急预案等措施进行风险规避。

第二十一条   国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：

第三十八条   关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。

第四十条   网络运营者应当对其收集的用户信息严格保密，并建立健全用户信息保护制度。

第五十三条   国家网信部门协调有关部门建立健全网络安全风险评估和应急工作机制，制定网络安全事件应急预案，并定期组织演练。

GB/T 22239-2019：规定了第一级到第四级等级保护对象的安全保护的基本要求。每个级别的基本要求均由安全通用要求和安全扩展要求构成。

GB/T 28448-2019：阐述了《基本要求》中各要求项的具体测评方法、步骤和判断依据等，用来评定信息系统的安全保护措施是否符合《基本要求》。

GB/T 28449-2018：规定了开展等级测评工作的基本过程、流程、任务及工作产品等，规范测评机构的等级测评工作，并对在等级测评过程中何时如何使用《测评要求》提出了指导建议。

测评工作的开展、方案的设计和具体实施均需依据我国等级保护的相关标准进行。

为用户提供规范的服务，工作中的过程和文档需具有良好的规范性，可以便于项目的跟踪和控制。

测评过程和所使用的工具具备可控性，测评项目采用的工具都经过多次测评项目考验，或者是根据具体要求和组织的具体网络特点定制的，具有良好的可控性。

测评服务从组织的实际需求出发，从业务角度进行测评，而不是局限于网络、主机等单个的安全层面，涉及安全管理和业务运营，保障整体性和全面性。

测评工作具备充分的计划性，不对现有的运行和业务的正常提供产生显著影响，尽可能小地影响系统和网络的正常运行。

从公司、人员、过程三方面进行保密控制——测评公司与甲方双方签署保密协议，不得利用测评中的任何数据进行其他有损甲方利益的活动；人员保密，公司内部签订保密协议；在测评过程中对测评数据严格保密。

根据被测信息系统的实际业务需求、功能需求以及对应的安全建设情况，开展针对性较强的测评工作。

物理安全

网络安全

主机安全

应用安全

数据安全及备份恢复

安全管理制度

安全管理机构

人员安全管理

系统建设管理

系统运维管理