《测评过程指南》是配合《信息安全技术 网络安全等级保护测评要求》GB/T 28448-2019（简称《测评要求》）的对应操作指南，后者重点在于测评的具体内容，而前者的重点在于测评的流程，测评过程总共有4个大步骤（测评活动准备、方案编制活动、现场测评活动、报告编制活动），19个小步骤。4个大步骤紧密相连，同样19个小步骤也就是连接在一起的。

在正式的介绍开始之前，写提一点前情提要：测评过程中一定会存在两大风险，分别是影响系统正常运行的风险和敏感信息泄露的风险。要正确的看待这俩大风险并且作出对应的规避方案，比如签署委托测评协议和保密协议，对系统和数据进行备份，并且提前制定好应急处理方案。

接下来给大家分享等级测评过程的四个基本测评活动：测评准备活动、方案编制活动、现场测评活动、报告编制活动的具体内容。

测评准备活动

1.工作启动：

在工作启动任务中，测评机构组建等级测评项目组，获取测评委托单位及定级对象的基本情况，从基本资料、人员、计划安排等方面为整个等级测评项目的实施做好充分准备。

2.信息收集和分析：

测评机构通过查阅被测定级对象已有资料或使用系统调查表格的方式，了解整个系统的构成和保护情况以及责任部门相关情况，为编写测评方案、开展现场测评和安全评估工作奠定基础。

3.工具和表单准备：

测评项目组成员在进行现场测评之前，应熟悉被测定级对象、调试测评工具、准备各种表单等。

方案编制活动

1.测评对象确定

根据系统调查结果，分析整个被测定级对象业务流程、数据流程、范围、特点及各个设备及组件的主要功能，确定出本次测评的测评对象。

2.测评指标确定

根据被测定级对象定级结果确定出本次测评的基本测评指标，根据测评委托单位及被测定级对象业 务自身需求确定出本次测评的特殊测评指标。

3.测评内容确定

本部分确定现场测评的具体实施内容，即单项测评内容。

4.工具测试方法确定

在等级测评中，需要使用测试工具进行测试，测试工具可能用到漏洞扫描器、渗透测试工具集、协议分析仪等。

5.测评指导书开发

测评指导书是具体指导测评人员如何进行测评活动的文档，是现场测评的工具、方法和操作步骤等的详细描述，是保证测评活动规范的根本。因此，测评指导书应当尽可能详尽、充分。

6.测评方案编制

测评方案是等级测评工作实施的基础，指导等级测评工作的现场实施活动。测评方案应包括但不局限于以下内容：项目概述、测评对象、测评指标、测评内容、测评方法等等。

现场测评活动

1.现场测评准备

本任务启动现场测评，是保证测评机构能够顺利实施测评的前提。

2.现场测评和结果记录

本任务主要是测评人员按照测评指导书实施测评，并将测评过程中获取的证据源进行详细、准确记录。

3.结果确认和资料归还

本任务主要是将测评过程中得到的证据源记录进行确认，并将测评过程中借阅的文档归还。

1.单项测评结果判定

本任务主要是针对单个测评项，结合具体测评对象，客观、准确地分析测评证据，形成初步单项测评结果，单项测评结果是形成等级测评结论的基础。

2.单元测评结果判定

本任务主要是将单项测评结果进行汇总，分别统计不同测评对象的单项测评结果，从而判定单元测评结果。

3.整体测评

针对单项测评结果的不符合项及部分符合项，采取逐条判定的方法，从安全控制点间、层面间出发考虑，给出整体测评的具体结果。

4.系统安全保障评估

综合单项测评和整体测评结果，计算修正后的安全控制点得分和层面得分，并根据得分情况对被测定级对象的安全保障情况进行总体评价。

5.安全问题风险分析

测评人员依据等级保护的相关规范和标准，采用风险分析的方法分析等级测评结果中存在的安全问题可能对被测定级对象安全造成的影响。

6.等级测评结论形成

测评人员在系统安全保障评估、安全问题风险评估的基础上，找出系统保护现状与等级保护基本要求之间的差距，并形成等级测评结论。

7.测评报告编制

根据报告编制活动各分析过程形成等级测评报告。等级测评报告格式应符合公安部发布的《信息安全等级保护测评报告模版》。

《信息安全技术 网络安全等级保护测评过程指南》GB/T 28449-2018（简称《测评过程指南》）给测评工程师和甲方客户一个流程操作上的指南，让测评工程师有一个工作的整体框架，按照4大步骤和19小步骤的操作流程，约束了测评工作本身的合规性。同时让甲方客户在配合测评工作的时候有一个公开透明的配合手册，在等保测评的时候能够提前识别等保测评带来的风险，签署对应的协议以及制作应急方案，这样就能减少等保测评带来的负面影响以及及时保障自己的权益。