第8部分：安全GBT222392008信息安全技术信息系统安全等级保护基本要求
3术语和定义
GBT52718和GBT222392008所确立的以及下列术语和定义适用于本标准。
f31测评力度testi
ga
devaluatio
i
te
sity测评工作实际投入力量的表征，可以由测评广度和深度来描述。
4总则
41测评原则
a客观性和公正性原则测评工作虽然不能完全摆脱个人主张或判断，但测评人员应当在没有偏见和最小主观判断情形下，按照测评双方相互认可的测评方案，基于明确定义的测评方法和过程，实施测评活动。
b经济性和可重用性原则基于测评成本和工作复杂性考虑，鼓励测评工作重用以前的测评结果，包括商业安全产品测评结果和信息系统先前的安全测评结果。所有重用的结果，都应基于这些结果还能适用于目前的系统，能反映目前系统的安全状态。
c可重复性和可再现性原则
无论谁执行测评，依照同样的要求，使用同样的方法，对每个测评实施过程的重复执行都应该得到同样的测评结果。可再现性体现在不同测评者执行相同测评的结果的一致性。可重复性体现在同一测评者重复执行相同测评的结果的一致性。
d符合性原则测评所产生的结果应当是在对测评指标的正确理解下所取得的良好的判断。测评实施过程应当使用正确的方法以确保其满足了测评指标的要求。
42测评内容
信息系统安全等级测评主要包括单元测评和整体测评两部分。
单元测评是等级测评工作的基本活动，每个单元测评包括测评指标、测评实施和结果判定三部分。其中，测评指标来源于GBT222392008中的第五级目录中的各要求项（详见45节说明），测评实施描述测评过程中使用的具体测评方法、涉及的测评对象和具体测评取证过程的要求，结果判定描述测评
人员执行测评实施并产生各种测评数据后，如何依据这些测评数据来判定被测系统是否满足测评指标要求的原则和方法。整体测评是在单元测评的基础上，通过进一步分析信息系统的整体安全性，对信息系统实施的综合安全测评。整体测评主要包括安全控制点间、层面间和区域间相互作用的安全测评以及系统结构的安全测评等。整体测评需要与信息系统的实际情况相结合，因此全面地给出整体测评要求的全部内容、具体实施过程和明确的结果判定方法是非常困难的，测评人员应根据被测系统的实际情况，结合本标准的要求，实施整体测评。测评方法指测评人员在测评实施过程中所使用的方法，主要包括访谈、检查和测试三种测评方法。其中，访谈是指测评人员通过引导信息系统相关人员进行有目的的（有针对性的r