→ 安全技術(shù)：網(wǎng)絡(luò)層安全、主機系統(tǒng)層安全、應(yīng)用層安全、數(shù)據(jù)安全。

→ 安全管理：安全管理組織機構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理、物理安全。

→ 資產(chǎn)分析----由評估人員在委托單位現(xiàn)場根據(jù)調(diào)查內(nèi)容獲取并分析信息系統(tǒng)資產(chǎn)。

→ 工具測試----由評估人員采用自動化工具對被評估系統(tǒng)進行漏洞檢測。

→ 專家訪談----由評估人員到委托單位同信息安全主管、IT審計部門、開發(fā)部門及運維部門按我中心調(diào)查模版要求進行面對面訪談?wù){(diào)研。

→ 資料審閱----查閱信息系統(tǒng)建設(shè)、運維過程中的過程文檔、記錄，采用分時段系統(tǒng)查閱和有針對性抽樣查閱的方法進行。

　　向客戶提交《信息系統(tǒng)安全風險評估報告》，幫助客戶明確當前網(wǎng)絡(luò)和系統(tǒng)安全現(xiàn)狀及安全需求，對可能受到威脅影響的資產(chǎn)確定其價值、敏感性和嚴重性以及相應(yīng)的級別；確定可能對資產(chǎn)造成的威脅以及最重要的、最敏感的資產(chǎn)一旦威脅發(fā)生所造成的損失。