要想掌握等级保护测评过程，需要静下来看一下《网络安全等级保护测评过程指南》GB/T 28449-2018（以下简称“《测评过程指南》”）这个国家标准。首先，测评过程分为测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动。

《测评过程指南》的主要用途是根据《信息安全等级保护管理办法》的规定，网络建设完成后，网络运营者应当选择符合规定条件的测评机构，依据《信息安全技术 网络安全等级保护基本要求》《信息安全技术 网络安全等级保护测评要求》等技术标准，定期对网络的安全保护状况开展等级测评。《测评过程指南》就是为规范等级测评机构的测评活动，保证测评结论准确、公正，《测评过程指南》明确了网络等级测评的测评过程，阐述了等级测评的工作任务、分析方法及工作结果等，为等级测评机构、网络运营者在等级测评工作中提供指导。

《测评过程指南》的主要内容以测评机构对第三级网络的首次等级测评活动过程为主要线索，定义等级测评的主要活动和任务，包括测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动四项活动。四项活动又各对应若干项，每一项活动，有对应工作流程、主要的工作任务、输出文档、双方职责等。对各工作任务，描述了任务内容和输入/输出产品等。

测评准备活动包括项目启动、信息收集和分析、工具和表单准备三项任务；

方案编制活动包括测评对象确定、测评指标确定、测试工具接入点确定、测评内容确定、测评实施手册开发、测评方案编制六项任务；

现场测评活动包括现场测评准备、现场测评和结果记录、结果确认和资料归还三项任务；

分析与报告编制活动包括单项测评结果判定、单元测评结果判定、整体测评、风险分析、等级测评结论形成、测评报告编制六项任务。

《测评过程指南》针对已定级的网络给出等级测评工作过程，而且工作流程及任务是针对第三级网络的首次测评活动过程而言的。对其他网络或者再次实施等级测评的工作过程与该过程的差异及关系，应参考标准中的调整原则予以调整。

影响系统正常运行的风险

在现场测评时,需要对设备和系统进行一定的验证测试工作,部分测试内容需要上机验证并查看一些信息,这就可能对系统运行造成一定的影响,甚至存在误操作的可能。

此外,使用测试工具进行漏洞扫描测试、性能测试及渗透测试等,可能会对网络和系统的负载造成一定的影响,渗透性攻击测试还可能影响到服务器和系统正常运行,如出现重启、服务中断、渗透过程中植入的代码未完全清理等现象。

敏感信息泄露风险

测评人员有意或无意泄漏被测系统状态信息,如网络拓扑、IP地址、业务流程、业务数据、安全机制、安全隐患和有关文档信息等。

木马植入风险

测评人员在渗透测试完成后,有意或无意将渗透测试过程中用到的测试工具未清理或清理不彻底,或者测试电脑中带有木马程序,带来在被测评系统中植入木马的风险。

前面说了，《测评过程指南》是网络运营者、等级测评机构参考的重要文件，作为网络运营者可以根据《测评过程指南》，梳理出自身需要承担的责任和义务，以便更好的配合测评机构人员服务好自己单位的等级保护测评工作。另外，网络运营者对该标准理解和把握不见得准确，需要测评机构人员给与指导，使之对《测评过程指南》有个清晰的认知，也能够在测评过程中更好的彼此配合，促进等级保护测评工作开展，特别是促进等级保护现场测评工作的开展。