现场测评一般包括访谈、文档审查、配置检查、工具测试和实地察看五个方面。

1）访谈

输入：测评指导书，技术安全和管理安全等级测评现场的测评结果记录表格。

任务描述：

a) 测评人员与被测系统有关人员（个人/群体）进行交流、讨论等活动，获取相关证据，了解有关信息。在访谈范围上，不同等级信息系统在测评时有不同的要求，一般应基本覆盖所有的安全相关人员类型，在数量上可以抽样。具体可参照 GB/TDDDD-DDDD 中的各级要求。

输出/产品：技术安全和管理安全等级测评现场的测评结果记录或录音。

2）文档审查

输入：安全方针文件，安全管理制度，安全管理的执行过程文档，系统设计方案，网络设备的技术资料，系统和产品的实际配置说明，系统的各种运行记录文档，机房建设相关资料，机房出入记录等过程记录文档，测评指导书，管理安全测评的测评结果记录表格。

任务描述：

a) 检查 GB/T 22239-2008 中规定的必须具有的制度、策略、操作规程等文档是否齐备。

b) 检查是否有完整的制度执行情况记录，如机房出入登记记录、电子记录、高等级系统的关键设备的使用登记记录等。

c) 对上述文档进行审核与分析，检查他们的完整性和这些文件之间的内部一致性。

信息安全等级测评现场更多内容您可点击下方信创致远官网链接查看，信创致远http://www.dengbao110.com/。

（二）下面列出对不同等级信息系统在等级测评实施时的不同强度要求。

一级：满足GB/T 22239-2008中的一级要求。

二级：满足GB/T 22239-2008中的二级要求，并且所有文档之间应保持一致性，要求有执行过程记录的，过程记录文档的记录内容应与相应的管理制度和文档保持一致，与实际情况保持一致。

三级：满足GB/T 22239-2008中的三级要求，所有文档应具备且完整，并且所有文档之间应保持一致性，要求有执行过程记录的，过程记录文档的记录内容应与相应的管理制度和文档保持一致，与实际情况保持一致，安全管理过程应与系统设计方案保持一致且能够有效管理系统。

四级：满足GB/T 22239-2008中的四级要求，所有文档应具备且完整，并且所有文档之间应保持一致性，要求有执行过程记录的，过程记录文档的记录内容应与相应的管理制度和文档保持一致，与实际情况保持一致，安全管理过程应与系统设计方案保持一致且能够有效管理系统。

输出/产品：管理安全测评的测评结果记录。