測評方法一(yī)般包括訪談、文檔審查、配置檢查、工具測試和(hé)實地(dì)察看五個方面

• 訪談

  測評人員與被測系統有關人員（個人/群體）進行交流、讨論等活動，獲取相關證據，了解有關信息。在訪談範圍上，不同等級信息系統在測評時有不同的(de)要求，一(yī)般應基本覆蓋所有的(de)安全相關人員類型，在數量上可(kě)以抽樣。
• 文檔審查

  1）檢查GB/T 22239-2019中規定的(de)必須具有的(de)制度、策略、操作規程等文檔是否齊備。
  2）檢查是否有完整的(de)制度執行情況記錄，如(rú)機房出入登記記錄、電子(zǐ)記錄、高(gāo)等級系統的(de)關鍵設備的(de)使用登記記錄等。
  3）對上述文檔進行審核與分析，檢查他們的(de)完整性和(hé)這些文件之間的(de)內(nèi)部一(yī)緻性。
• 配置檢查

  1）根據測評結果記錄表格內(nèi)容，利用上機驗證的(de)方式檢查應用系統、主機系統、數據庫系統以及網絡設備的(de)配置是否正确，是否與文檔、相關設備和(hé)部件保持一(yī)緻，對文檔審核的(de)內(nèi)容進行核實（包括日志審計等）。
  2）如(rú)果系統在輸入無效命令時不能完成其功能，将要對其進行錯誤測試。
  3）針對網絡連接，應對連接規則進行驗證。
• 工具測試

  1）根據測評方案，利用技術工具對系統進行測試，包括基于網絡探測和(hé)基于主機審計的(de)漏洞掃描、滲透性測試、性能測試、入侵檢測和(hé)協議分析等。
  2）備份測試結果。
• 實地(dì)察看

  1）根據被測系統的(de)實際情況，測評人員到系統運行現場通過實地(dì)的(de)觀察人員行為(wèi)、技術設施和(hé)物理(lǐ)環境狀況判斷人員的(de)安全意識、業務操作、管理(lǐ)程序和(hé)系統物理(lǐ)環境等方面的(de)安全情況，測評其是否達到了相應等級的(de)安全要求。