4.3　等級測評風險規避

在等級測評過程中可以通過采取以下措施規避風險：

a) 簽署委托測評協議

在測評工作正式開始之前，測評方和被測評單位需要以委托協議的方式明確測評工作的目標、范圍、人員組成、計劃安排、執行步驟和要求以及雙方的責任和義務等，使得測評雙方對測評過程中的基本問題達成共識。

b) 簽署保密協議

測評相關方應簽署合乎法律規范的保密協議，以約束測評相關方現在及將來的行為。保密協議規定了測評相關方保密方面的權利與義務。測評過程中獲取的相關系統數據信息及測評工作的成果屬被測評單位所有，測評方對其的引用與公開應得到相關單位的授權，否則相關單位將按照保密協議的要求追究測評單位的法律責任。

c) 現場測評工作風險的規避

現場測評之前，測評機構應與相關單位簽署現場測評授權書，要求相關方對系統及數據進行備份，并對可能出現的事件制定應急處理方案。

進行驗證測試和工具測試時，避開業務高峰期，在系統資源處于空閑狀態時進行，或配置與生產環境一致的模擬/仿真環境，在模擬/仿真環境下開展漏洞掃描等測試工作；上機驗證測試由測評人員提出需要驗證的內容，系統運營、使用單位的技術人員進行實際操作。整個現場測評過程要求系統運營、使用單位全程監督。

d) 測評現場還原

測評工作完成后，測評人員應將測評過程中獲取的所有特權交回，把測評過程中借閱的相關資料文檔歸還，并將測評環境恢復至測評前狀態。