附　錄　C （規范性附錄） 等級測評工作要求

D.1　依據標準，遵循原則

等級測評實施應依據等級保護的相關技術標準進行。相關技術標準主要包括GB/T 22239、GB/T 28448，其中等級測評目標和內容應依據GB/T 22239，對具體測評項的測評實施方法則依據GB/T 28448。

在等級測評實施活動中，應遵循客觀性和公正性、經濟性和可重用性、可重復性和可再現性、結果完善性的原則，保證測評工作公正、科學、合理和完善。

D.2　恰當選取，保證強度

恰當選取是指對具體測評對象的選擇要恰當，既要避免重要的對象、可能存在安全隱患的對象沒有被選擇，也要避免過多選擇，使得工作量增大。

保證強度是指對被測定級對象應實施與其等級相適應的測評強度。

D.3　規范行為，規避風險

測評機構實施等級測評的過程應規范，包括：制定內部保密制度；制定過程控制制度；規定相關文檔評審流程；指定專人負責保管等級測評的歸檔文件等。

測評人員的行為應規范，包括：測評人員進入現場佩戴工作牌；使用測評專用的電腦和工具；嚴格按照測評指導書使用規范的測評技術進行測評；準確記錄測評證據；不擅自評價測評結果；不將測評結果復制給非測評人員；涉及到測評委托單位的工作秘密或敏感信息的相關資料，只在指定場所查看，查看完成后立即歸還等。

規避風險，是指要充分估計測評可能給被測定級對象帶來的影響，向被測定級對象運營/使用單位揭示風險，要求其提前采取預防措施進行規避。同時，測評機構也應采取與測評委托單位簽署委托測評協議、保密協議、現場測評授權書、要求測評委托單位進行系統備份、規范測評活動、及時與測評委托單位溝通等措施規避風險，盡量避免給被測定級對象和單位帶來影響。