信息安全等級保護已經成為全國各行業(yè)進行信息安全建設的重點內容，而信息安全風險評估正是進行信息安全等級保護工作的切入點。如何進行信息安全風險評估，如何通過風險評估為信息安全等級保護建設提供必要的輸入數(shù)據(jù)已經成為風險評估所需要解決的重點問題。
       信息安全等級保護測評工作要求：
       1、依據(jù)標準，遵循原則
       等級測評實施應依據(jù)等級保護的相關技術標準進行。相關技術標準主要包括GB/T 22239-2008和GB/T DDDD-DDDD，其中等級測評目標和內容應依據(jù)GB/T 22239-2008，對具體測評項的測評實施方法則依據(jù)GB/T DDDD-DDDD。 在等級測評實施活動中，應遵循GB/T DDDD-DDDD中規(guī)定的測評原則，保證測評工作公正、科學、合理和完善。
        2、恰當選取，保證強度
       恰當選取是指對具體測評對象的選擇要恰當，既要避免重要的對象、可能存在安全隱患的對象沒有被選擇，也要避免過多選擇，使得工作量增大。保證強度是指對被測系統(tǒng)應實施與其等級相適應的測評強度。
        3、規(guī)范行為，規(guī)避風險
       測評機構實施等級測評的過程應規(guī)范，包括：制定內部保密制度；制定過程控制制度；規(guī)定相關文檔評審流程；指定專人負責保管等級測評的歸檔文件等。測評人員的行為應規(guī)范，包括：測評人員進入現(xiàn)場佩戴工作牌；使用測評專用的電腦和工具；嚴格按照測評指導書使用規(guī)范的測評技術進行測評；準確記錄測評證據(jù)；不擅自評價測評結果；不將測評結果復制給非測評人員等。規(guī)避風險，是指要充分估計測評可能給被測系統(tǒng)帶來的影響，向被測系統(tǒng)運營/使用單位揭示風險，要求其提前采取預防措施進行規(guī)避。同時，測評機構也應采取與測評委托單位簽署委托測評協(xié)議、保密協(xié)議、現(xiàn)場測評授權書、要求測評委托單位進行系統(tǒng)備份、規(guī)范測評活動、及時與測評委托單位溝通等措施規(guī)避風險，盡量避免給被測系統(tǒng)和單位帶來影響。
        評估準備階段
        評估準備階段是開展等級測評工作的前提和基礎，是整個等級測評過程有效性的保證。測評準備工作是否充分直接關系到后續(xù)工作能否順利開展。評估準備階段主要任務是掌握被測系統(tǒng)的詳細情況，準備測試工具，為編制測評方案做好準備。方案編制階段
        方案編制活動包括測評對象確定、測評指標確定、測試工具接入點確定、測評內容確定、測評指導書測評指導書開發(fā)及測評方案編制六項主要任務。現(xiàn)場評估階段
        現(xiàn)場評估階段主要是通過與客戶進行溝通和協(xié)調，為現(xiàn)場測評的順利開展打下良好基礎，然后依據(jù)測評方案實施現(xiàn)場測評工作，將測評方案和測評工具等具體落實到現(xiàn)場測評活動中。現(xiàn)場測評工作應取得分析與報告編制活動所需的、足夠的證據(jù)和資料。
        現(xiàn)場評估活動，分別從技術上的物理安全、網(wǎng)絡安全、主機系統(tǒng)安全、應用安全和數(shù)據(jù)安全五個層面和管理上的安全管理機構、安全管理制度、人員安全管理、系統(tǒng)建設管理和系統(tǒng)運維管理五個方面分別進行。分析與報告編制階段
       在現(xiàn)場測評工作結束后，測評機構應對現(xiàn)場測評獲得的測評結果（或稱測評證據(jù)）進行匯總分析，形成等級測評結論，并編制測評報告。
       測評人員在初步判定單元測評結果后，還需進行整體測評，經過整體測評后，有的單元測評結果可能會有所變化，需進一步修訂單元測評結果，而后進行風險分析和評價，形成等級測評結論。分析與報告編制活動包括單項測評結果判定、單元測評結果判定、整體測評、風險分析、等級測評結論形成及測評報告編制六項主要任務。