等级测评过程分为四个测评阶段：

测评准备、方案编制、现场测评及分析和报告编制测评双方之间的沟通与洽谈贯穿整个等级测评过程

• 

  测评准备

  本阶段是开展等级测评工作的前提和基础，是整个等级测评过程有效性的保证。测评准备工作是否充分直接关系到后续工作能否顺利开展。本阶段的主要任务是掌握被测系统的详细情况，为实施测评做好文档及测试工具等方面的准备。
• 

  方案编制

  本阶段是开展等级测评工作的关键，为现场测评提供最基本的文档和指导方案。本阶段的主要任务是开发与被测信息系统相适应的测评内容、测评实施手册等，形成测评方案。
• 

  现场测评

  本阶段是开展等级测评工作的核心活动。主要任务是依据测评方案的总体要求，严格执行测评实施手册，分步实施所有测评项目，包括单项测评和系统整体测评两个方面，以了解系统的真实保护情况，获取足够证据，发现系统存在的安全问题。
• 

  分析与报告编制

  本阶段是给出等级测评工作结果的活动，是总结被测系统整体安全保护能力的综合评价活动。本阶段的主要任务是根据现场测评结果和GB/T 22239-2019的有关要求，通过单项测评结果判定和系统整体测评分析等方法，分析整个系统的安全保护现状与相应等级的保护要求之间的差距，综合评价被测信息系统保护状况，并形成测评报告文本。

测评方法一般包括访谈、文档审查、配置检查、工具测试和实地察看五个方面

• 访谈

  测评人员与被测系统有关人员（个人/群体）进行交流、讨论等活动，获取相关证据，了解有关信息。在访谈范围上，不同等级信息系统在测评时有不同的要求，一般应基本覆盖所有的安全相关人员类型，在数量上可以抽样。
• 文档审查

  1）检查GB/T 22239-2019中规定的必须具有的制度、策略、操作规程等文档是否齐备。
  2）检查是否有完整的制度执行情况记录，如机房出入登记记录、电子记录、高等级系统的关键设备的使用登记记录等。
  3）对上述文档进行审核与分析，检查他们的完整性和这些文件之间的内部一致性。
• 配置检查

  1）根据测评结果记录表格内容，利用上机验证的方式检查应用系统、主机系统、数据库系统以及网络设备的配置是否正确，是否与文档、相关设备和部件保持一致，对文档审核的内容进行核实（包括日志审计等）。
  2）如果系统在输入无效命令时不能完成其功能，将要对其进行错误测试。
  3）针对网络连接，应对连接规则进行验证。
• 工具测试

  1）根据测评方案，利用技术工具对系统进行测试，包括基于网络探测和基于主机审计的漏洞扫描、渗透性测试、性能测试、入侵检测和协议分析等。
  2）备份测试结果。
• 实地察看

  1）根据被测系统的实际情况，测评人员到系统运行现场通过实地的观察人员行为、技术设施和物理环境状况判断人员的安全意识、业务操作、管理程序和系统物理环境等方面的安全情况，测评其是否达到了相应等级的安全要求。