測評方法一(yī)般包括訪談、文檔審查、配置檢查、工(gōng)具測試和實地察看五個方面

• 訪談

  測評人員(yuán)與被測系統有關人員(yuán)（個人/群體(tǐ)）進行交流、讨論等活動，獲取相關證據，了解有關信息。在訪談範圍上，不同等級信息系統在測評時有不同的要求，一(yī)般應基本覆蓋所有的安全相關人員(yuán)類型，在數量上可以抽樣。
• 文檔審查

  1）檢查GB/T 22239-2019中(zhōng)規定的必須具有的制度、策略、操作規程等文檔是否齊備。
  2）檢查是否有完整的制度執行情況記錄，如機房出入登記記錄、電(diàn)子記錄、高等級系統的關鍵設備的使用登記記錄等。
  3）對上述文檔進行審核與分(fēn)析，檢查他們的完整性和這些文件之間的内部一(yī)緻性。
• 配置檢查

  1）根據測評結果記錄表格内容，利用上機驗證的方式檢查應用系統、主機系統、數據庫系統以及網絡設備的配置是否正确，是否與文檔、相關設備和部件保持一(yī)緻，對文檔審核的内容進行核實（包括日志(zhì)審計等）。
  2）如果系統在輸入無效命令時不能完成其功能，将要對其進行錯誤測試。
  3）針對網絡連接，應對連接規則進行驗證。
• 工(gōng)具測試

  1）根據測評方案，利用技術工(gōng)具對系統進行測試，包括基于網絡探測和基于主機審計的漏洞掃描、滲透性測試、性能測試、入侵檢測和協議分(fēn)析等。
  2）備份測試結果。
• 實地察看

  1）根據被測系統的實際情況，測評人員(yuán)到系統運行現場通過實地的觀察人員(yuán)行爲、技術設施和物(wù)理環境狀況判斷人員(yuán)的安全意識、業務操作、管理程序和系統物(wù)理環境等方面的安全情況，測評其是否達到了相應等級的安全要求。