”中的三级通用指标类（G3），三级业务信息安全性指标类（S3）和三级业务服务保证类（A3）。测评现场工作将采用访谈、检查和测试等三类方法。访谈是测评人员通过与信息系统有关人员进行交流、讨论等活动以获取证据的一种方法。检查是测评人员通过对测评对象进行观察、查验、分析等活动以获取证据的一种方法。测试是指测评人员对测评对象按照预定的方法工具使其产生特定的响应等活动，然后通过查看、分析响应输出结果来获取证据的一种方法。访谈使用到的工具主要是访谈列表。测评人员针对访谈列表上的问题，逐项与信息系统有关人员进行交流、讨论，根据被访谈人员的回答了解和确认信息系统的安全保护情况。检查使用到的工具主要是核查列表。测评人员针对核查列表上的问题，通过观察、查验、分析等活动，逐项核实。根据检查对象的不同，检查可以进一步分为文档审查、现场观测和配置核查等方式。依据工具和实施过程的不同，测试可以进一步细分为信息获取、漏洞扫描、渗透测试、密码分析等方式。信息获取是指获取存活主机设备的名称、IP地址、操作系统、开放的服务端口以及特定的数据包等信息内容；漏洞扫描是指利用漏洞扫描设备对目标设备进行自动探测，发现这些主机设备上各个对网络开放端口上存在的错误配置和已知安全漏洞；渗透测试是模拟黑客可能使用的攻击技术，试图侵入信息系统或取得信息系统上的更多资源，以直观地测评信息系统的安全状况。从不同接入点对信息系统进行漏洞扫描和渗透测试，可以反映出信息系统在不同角度、不同视野下的安全状况。232单元测评把测评指标和测评方式结合到信息系统的具体测评对象上，就构成了可以具体测评的工作单元。测评机构将分别对物理安全、网络安全、主机系统安全、应用安全、数据安全及备份恢复、安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等方面进行单元测评。233整体测评
f信息系统的安全控制集成到信息系统后，会在层面内、层面间和区域间产生连接、交互、依赖、协同等相互关联关系，使信息系统的整体安全功能与信息系统的结构密切相关，在整体上呈现出一种集成特性。这些集成特性在安全控制的工作单元中是没有完全体现。因此，在安全控制测评的基础上，有必要对集成系统和运行环境进行整体测评。安全控制间的安全测评主要考虑同一层面上的不同安全控制间存在的功能增强、补充或削弱等关联作用。例如，主机层面的身份鉴别与访问控制之间关系密切，r