安全评估阶段
    信息系统安全评估阶段按工作内容又划分几个子阶段:静态评估阶段、现场检测阶段、综合安全评估阶段。
    1.静态评估阶段
    在静态评估阶段信息系统资产所有者提出申请，与系统评估方签署协议，所有者提交文档，所有者为主提出评估对象的保护轮廓。评估项目组成员首先要对申请方提供的材料进行技术审查，并将审查中发现的主要问题及时反馈给申请单位，同时提出改进建议。评估者与所有者确定系统评估范围和边界、理解评估对象的保护轮廓、了解所有者提供的信息系统结构、系统风险和对策、系统安全需求等先验知识，以评估者为主制定评估对象的评估目标，制定评估方案和计划。计划和方案制定完成后，第一阶段工作结束。
    2. 现场检测阶段
    信息安全分析与测试的目的是确定信息系统所处的安全状态，为便于信息系统安全状况的评估和确定改进的方法和措施将安全分析分为技术安全、管理安全和过程安全。信息安全的分析和测试是交替进行、相互结合和补充。
    在现场检测阶段，评估项目组前往信息系统运行现场进行实地检测。正式开始检测之前，评估项目组会同申请单位召集信息安全高层主管人员、系统日常安全管理人员以及系统开发和集成人员召开项目启动会。会上，评估项目组向申请单位介绍评估项自小组成员，简要说明评估工作计划和评估方案，征询有关方面意见，修改并最终确定工作计划和方案，同时协商落实申请单位方现场检测工作协调人员，并要求申请单位提供必要的工作环境。
    准备、协商工作结束后，项目组将正式开始实施现场检测。检测内容包括技术测试、管理和安全运行情况核查三部分。现场检测阶段收集和产生的所有检测数据都将得到严格保护。
    现场检测工作结束之前，项目组会同申请单位信息安全高层主管人员召开一次项目总结会，对现场检测工作进行总结，并再次确认现场检测结果。至此，现场检测正式结束。
    在本阶段，将制定具体的测评工作计划和测评方案，并与用户协商达成一致意见。
    3. 综合安全评估阶段
    现场检测工作结束后，项目组对检测数据和结果进行分析，完成《信息系统安全现场核查报告》及《信息系统安全测试报告》。报告将对现场检测结果进行详细总结，指出管理、运行和技术上存在的问题，并提出相应的整改建议。
    为综合评估系统安全的保障能力，项目组将汇总《信息系统安全现场核查报告》以及《信息系统安全测试报告》中管理、运行、技术检测结果，进行进一步分析与评估，确定信息系统安全保障能力级别，并完成《信息系统安全综合评估报告》。本阶段以《信息系统安全综合评估报告》的完成为结束标志。