一、测评工作主要内容

等保测评主要分为对技术和管理两个方面进行评测。技术层面主要对网络和主机的安全技术风险进行评测与分析，其中包含物理环境、网络设备、主机系统和应用系统等软硬件设备；从组织人员、组织结构、管理体系与系统运行保障措施等运行管理规范的角度分析业务运行和管理的安全缺陷。通过对上述安全威胁的分析和总结，形成报告，再根据报告和评测对象自身安全现状，提出相应的安全整改建议方案。

二、基本工作流程

流程主要为评测准备活动——方案编制活动——现场评价活动——分析报告编制活动，四个基本评价活动。

三、工作方法

主要工作方法包含访谈、文档审查、配置检查、工具测试和现场检查五个步骤。

• 1.访谈是指评估人员与测评对象相关人员（个人/组）进行交流和讨论，获取相关安全信息。
• 2.文件审查主要是根据技术和管理标准、安全政策文件、安全管理体系、安全管理执行过程文件、系统设计方案、网络设备技术数据、系统和产品实际配置说明、各种运行记录文件、机房建设相关数据、机房进出记录。
• 3.配置检查指的是检查配置是否与文档、相关设备和部件一致，验证文档审核内容（包括日志审计等），并记录评测结果。
• 4.工具测试指的是通过各类测试工具对目标系统的扫描和探测等操作，使其产生特定的响应等活动，通过查看、分析响应结果，获取证据以证明信息系统安全保护措施是否得以有效实施的一种方法。
• 5.现场检查是根据被测系统的实际情况，评估人员到系统运行现场通过现场观察人员的行为、技术设施和物理环境判断人员的安全意识、业务运行、管理程序和系统物理环境，评估其是否符合相应水平的安全要求。如扫描检测、渗透检测、协议分析等手段。

由于信息系统安全测评受到组织业务战略、业务流程、安全需求、系统规模和结构的影响，测评实施前需要做好准备。测评实施准备工作主要包括以下内容：明确评估目标、确定评估范围、组建评估团队、召开评估实施启动会议、系统研究、确定系统评估标准、确定评估工具、制定评估计划、评估工作协调、文件管理和评估风险规避等。

四、评估中的风险及控制

网络安全测评是一个非常具挑战性的行业，整个测评过程不仅局限于技术水平，而且涉及单位管理水平，整个测评工作生命周期将出现各种问题，如何管理和避免测评工作的风险，成为测评工作成功的关键。