2017年12月 ，国家密码管理局公布《国家密码管理局关于废止和修改部分管理规定的决定》，其中废止的管理规定不包括（  ）。

某二级信息系统除了灾备机房外，其中一部分部署在被测系统单位内机房，另一部分部署在云平台（由运营商托管），那么针对“物理和环境安全 ”层面的测评对象仅涉及灾备机房和被测系统单位内机房。

测评人员对某一级信息系统测评时，发现该系统在规划阶段制定了密码应用方案且通过了方案评估，因此针对“建设运行”层面的“制定密码应用方案”指标的量化评估结果可以为1分，判定为符合。

测评人员在对某三级信息系统测评时，发现该信息系统运行过程中未发生任何密码应用安全事件，因此将GB/T 39786中管理要求的“应急处置”相关指标列为不适用。

在对物理和环境安全层面中的“身份鉴别”指标测评时，如果被测信息系统所在物理机房未采用密码技术对机房进入人员进行身份鉴别，但在机房进出口配备专人值守并进行登记，且采用视频监控系统进行实施监控保证机房进入人员身份的真实性，可酌情降低风险等级，但该测评指标的量化评估分数依然是0分。

测评人员利用Wireshark，发现某信息系统传输的重要数据为密文，数据密文长度为128比特，因此可以判定该数据使用SM4或AES密码算法进行了加密保护。

密评人员在测评某信息系统应用和数据安全层面的“身份鉴别”指标时发现，该信息系统有应用管理员和普通用户两类应用用户，其中应用管理员采用基于智能密码钥匙（经检测认证合格）的登录方式，普通用户采用“口令+短信验证码”的登录方式。那么该测评单元的得分为0.5分。

某信息系统的设备运维路径为：设备管理员操作终端-堡垒机-应用服务器，其中：1）从操作终端到堡垒机采用HTTPS/TLS1.2（ 选用密码套件为 TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384）提供运维通道保护；2）从堡垒机到服务器采用SSHv2.0提供运维通道保护。那么应用服务器的“远程管理通道安全”测评指标的判定结果为“部分符合”。

由于防火墙、边界路由器属于网络安全产品范畴，在密评时通常不考虑作为测评对象。所以“网络边界访问控制信息的完整性”测评指标的核查只需要确认VPN网关中相应的安全机制即可。

在应用和数据安全层面，某信息系统开发人员对重要数据的传输机密性保护采用AES-CBC实现，对重要数据的传输完整性保护采用基于AES的 CBC-MAC实现，由于这两项指标对应保护的数据不同，因此开发人员使用了同一个密钥执行上述密码算法计算。这种做法是合理的。

在密评中发现，信息系统采用一台服务器密码机实现对数据加密密钥的管理，但该密码机对应的产品认证证书在测评时已过期（该密码机采购时间在认证证书有效期内）。针对这种情形，“密钥管理安全性”一定是“不符合”。