信息安全问题是全球信息化进程的重要问题。为建立行之有效的信息安全测评认证体系,我国发布了符合国情的信息产品及系统测评的安全标准,并于2003年制订了信息安全等级保护工作的实施计划,全面强制推行信息安全等级保护制度,故迫切需要与之配套的测评方法和工具。然而,目前的测评方法停留在信息产品及系统组件的安全问题上,忽视了信息系统作为整体其安全性是一个动态发展的过程。为此,本文着重研究信息系统安全等级测评中的模型和方法,并提出了可行的测评方案。首先,基于《划分准则》标准体系结构及其安全要求,将以信息为中心的McCumber Cube模型思想引入到信息系统安全等级测评工作中,提出了一种不受技术发展和信息系统变化而改变的安全等级测评方法。同时,为了加强测评的可操作性,论文深化了McCumber Cube模型的思想,测评时强调以信息为中心,将人员因素作为专题研究。其次,深入分析信息系统中人员因素对安全性能的影响。通过研究系统数据文件与人员心理安全特性的映射关系,提取测评人员风险度的指标体系结构,而后基于模糊层次分析方法提出了一种新的信息系统人员风险度测评方法,并实例验证了方法的有效性。最后,结合使用以信息为中心的安全等级测评和人员风险度测评方法,从测评前准备工作,测评分析以及测评结果报告这三个阶段入手,提出了可行且扩展性强的针对信息系统安全等级的测评方案。论文研究成果为实用化的信息系统安全测评提供了新的途径。