信息系统安全等级测评主要包括单元测评和整体测评两部分。

单元测评是等级测评工作的基本活动，每个单元测评包括测评指标、测评实施和结果判定三部分。

其中，测评指标来源于 GB/T 22239-2008 中的第五级目录中的各要求项（详见信创致远官网http://www.dengbao110.com/），测评实施描述测评过程中使用的具体测评方法、涉及的测评对象和具体测评取证过程的要求，结果判定描述测评人员执行测评实施并产生各种测评数据后，如何依据这些测评数据来判定被测系统是否满足测评指标要求的原则和方法。

整体等级测评使用是在单元测评的基础上，通过进一步分析信息系统的整体安全性，对信息系统实施的综合安全测评。整体测评主要包括安全控制点间、层面间和区域间相互作用的安全测评以及系统结构的安全测评等。整体测评需要与信息系统的实际情况相结合，因此全面地给出整体测评要求的全部内容、具体实施过程和明确的结果判定方法是非常困难的，测评人员应根据被测系统的实际情况，结合本标准的要求，实施整体等级测评。

测评方法指测评人员在测评实施过程中所使用的方法，主要包括访谈、检查和测试三种测评方法。

其中，访谈是指测评人员通过引导信息系统相关人员进行有目的的（有针对性的）交流以帮助测评人员理解、分析或取得证据的过程，检查是指测评人员通过对测评对象（如管理制度、操作记录、安全配置等）进行观察、查验、分析以帮助测评人员理解、分析或取得证据的过程，测试是测评人员使用预定的方法/工具使测评对象产生特定的行为，通过查看和分析结果以帮助测评人员获取证据的过程。

测评对象指等级测评实施的对象，即测评过程中涉及到的信息系统的相关人员、制度文档、各类设备及其安全配置等。