本标准规定了测评结果对信息系统安全等级保护状况进行安全等级测评测试评估的要求，包括对第一级信息系统、第二级信息系统、第三级信息系统和第四级信息系统进行安全等级测评评估的单元测评要求和信息系统整体测评要求。本标准略去对第五级信息系统进行单元测评的具体内容要求。

本标准适用于信息安全测评服务机构、信息系统的主管部门及运营使用单位对信息系统安全等级保护状况进行的安全测试评估。信息安全监管职能部门依法进行的信息安全等级保护监督检查可以参考使用。

（一）结果重用

在信息系统中，有些安全控制可以不依赖于其所在的地点便可测评，即在其部署到运行环境之前便可以接受安全测评。一些商用安全产品的等级测评就属于这种安全测评。如果一个信息系统部署和安装在多个地点，且系统具有一组共同的软件、硬件、固件等组成部分，对这些安全控制的测评可以集中在一个集成测试环境中实施，如果没有这种环境，则可以在其中一个预定的运行地点实施，在其他运行地点的安全测评便可重用此测评结果。

在信息系统所有安全控制中，有一些安全控制与它所处于的运行环境紧密相关（如与人员或物理有关的某些安全控制），对其测评必须在分发到相应运行环境中才能进行。如果多个信息系统处在地域临近的封闭场地内，系统所属的机构在同一个领导层管理之下，对这些安全控制在多个信息系统中进行重复测评，可能是对有效资源的一种浪费。因此，可以在一个选定的信息系统中进行测评，其他相关信息系统可以直接重用这些测评结果，详见信创致远官网http://www.dengbao110.com/。