信息安全等級保護已經成為全國各行業進行信息安全建設的重點內容，而信息安全風險評估正是進行信息安全等級保護工作的切入點。如何進行信息安全風險評估，如何通過風險評估為信息安全等級保護建設提供必要的輸入數據已經成為風險評估所需要解決的重點問題。
       信息安全等級保護測評工作要求：
       1、依據標準，遵循原則
       等級測評實施應依據等級保護的相關技術標準進行。相關技術標準主要包括GB/T 22239-2008和GB/T DDDD-DDDD，其中等級測評目標和內容應依據GB/T 22239-2008，對具體測評項的測評實施方法則依據GB/T DDDD-DDDD。 在等級測評實施活動中，應遵循GB/T DDDD-DDDD中規定的測評原則，保證測評工作公正、科學、合理和完善。
        2、恰當選取，保證強度
       恰當選取是指對具體測評對象的選擇要恰當，既要避免重要的對象、可能存在安全隱患的對象沒有被選擇，也要避免過多選擇，使得工作量增大。保證強度是指對被測系統應實施與其等級相適應的測評強度。
        3、規范行為，規避風險
       測評機構實施等級測評的過程應規范，包括：制定內部保密制度；制定過程控制制度；規定相關文檔評審流程；指定專人負責保管等級測評的歸檔文件等。測評人員的行為應規范，包括：測評人員進入現場佩戴工作牌；使用測評專用的電腦和工具；嚴格按照測評指導書使用規范的測評技術進行測評；準確記錄測評證據；不擅自評價測評結果；不將測評結果復制給非測評人員等。規避風險，是指要充分估計測評可能給被測系統帶來的影響，向被測系統運營/使用單位揭示風險，要求其提前采取預防措施進行規避。同時，測評機構也應采取與測評委托單位簽署委托測評協議、保密協議、現場測評授權書、要求測評委托單位進行系統備份、規范測評活動、及時與測評委托單位溝通等措施規避風險，盡量避免給被測系統和單位帶來影響。
        評估準備階段
        評估準備階段是開展等級測評工作的前提和基礎，是整個等級測評過程有效性的保證。測評準備工作是否充分直接關系到后續工作能否順利開展。評估準備階段主要任務是掌握被測系統的詳細情況，準備測試工具，為編制測評方案做好準備。方案編制階段
        方案編制活動包括測評對象確定、測評指標確定、測試工具接入點確定、測評內容確定、測評指導書測評指導書開發及測評方案編制六項主要任務。現場評估階段
        現場評估階段主要是通過與客戶進行溝通和協調，為現場測評的順利開展打下良好基礎，然后依據測評方案實施現場測評工作，將測評方案和測評工具等具體落實到現場測評活動中。現場測評工作應取得分析與報告編制活動所需的、足夠的證據和資料。
        現場評估活動，分別從技術上的物理安全、網絡安全、主機系統安全、應用安全和數據安全五個層面和管理上的安全管理機構、安全管理制度、人員安全管理、系統建設管理和系統運維管理五個方面分別進行。分析與報告編制階段
       在現場測評工作結束后，測評機構應對現場測評獲得的測評結果（或稱測評證據）進行匯總分析，形成等級測評結論，并編制測評報告。
       測評人員在初步判定單元測評結果后，還需進行整體測評，經過整體測評后，有的單元測評結果可能會有所變化，需進一步修訂單元測評結果，而后進行風險分析和評價，形成等級測評結論。分析與報告編制活動包括單項測評結果判定、單元測評結果判定、整體測評、風險分析、等級測評結論形成及測評報告編制六項主要任務。