对信息系统安全等级保护状况进行测试评估，应包括两个方面的内容：一是安全控制测评，主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况；二是系统整体测评，主要测评分析信息系统的整体安全性。其中，安全控制测评是信息系统整体安全测评的基础。 对安全控制测评的描述，使用测评单元方式组织。测评单元分为安全技术测 评和安全管理测评两大类。安全技术测评包括：物理安全、网络安全、主机系统 安全、应用安全和数据安全等五个层面上的安全控制测评；安全管理测评包括： 安全管理机构、安全管理制度、 人员安全管理、系统建设管理和系统运维管理等五个方面的安全控制测评