主要测评方法

访谈：与被测评系统有关人员交流、讨论，涉及网络安全主管、系统管理员、安全管理员等等

核查: 审查各类文档、物理设备和系统是否配置正确

测试：利用技术工具对系统进行测试，漏扫或者渗透性测试

流程

测评准备

工作启动

信息收集和分析

《基本情况信息信息收集表》

物理机房威胁、网络拓扑、安全设备及虚拟安全设备、应用部署情况

工具和表单准备

渗透测试、性能测试、协议分析、漏扫工具

测评表单：风险告知、保密协议

方案编制

确定业务范围、测评对象。

差距测评在这里要比等级测评要更加全面。

每个安全域最好单独进行一次范围测评。云计算平台提供服务的则使用云计算平台测评报告。

测评内容确定，测试方法确定

测试工具接入点（在安全区和其他区域是否体现安全性）

测评指导书开发

对每个测评对象的详细测试方法描述

现场测评

…

对系统及数据进行备份

制定应急处置方案

…

现场测评准备

人员配合要求

测试场地要求

…

测评结果记录

全面、客观、完整

评判标准：符合、不符合、部分符合

测评内容

物理环境安全测评

安全通信网络测评：带宽和网络设备是否满足业务需求、被检测系统的重要网络区域是否技术隔离、线路的可靠性、传输过程中数据的保密性等等

安全区域边界测评：边界防护、访问控制、恶意代码、安全审计、垃圾邮件

安全计算环境测评

安全管理中心等等十个方面

报告编制

单项测评小结

针对单个安全类单项（一共10个）测评结果汇总统计控制点得分和符合情况。在根据要求计算测评项权重值得到各个安全控制点的得分

整体测评结果分析

控制点间测评、区域间/层面间测评

安全问题风险分析

等级测评结论