国家支持社会团体、企业利用自主创新技术制定（）国家标准、行业标准相关技术要求的商用密码团体标准、企业标准。

依据GM/T  0115 《信息系统密码应用测评要求》，在做密钥归档检查时，密评人员应重点核实归档密钥是否仅用于解密被加密的历史信息或验证被签名的历史信息。

GM/T 0115《信息系统密码应用测评要求》中的风险分析和评价针对单元测评结果中产生的不符合项和部分符合项进行的。

某三级信息系统，在测评应用和数据安全层面的“重要数据传输机密性”指标时，密评人员发现该系统部署了经检测认证合格的服务器密码机（安全等级二级）对重要数据进行加密保护，那么该测评单元的测评实施第二条可以直接判定为“符合”。

根据某三级信息系统的密码应用需求，涉及到部分第四级信息系统密码应用的相关指标要求，那么在测评时只需要现场核实这些指标落实情况即可，无需将这些特殊情况的测评实施及结论体现在密码应用安全性评估报告中。

对于三级信息系统，在实施应用和数据安全层面的“不可否认性”指标测评时，若存在相应安全需求，则密评人员应按照GM/T 0115《信息系统密码应用测评要求》相应指标要求进行测评和结果判定。

根据GM/T  0115 《信息系统密码应用测评要求》，对于“宜”的条款，存在两种“不适用”情形。

依据GM/T  0115 《信息系统密码应用测评要求》，在设备和计算安全层面，堡垒机使用合规的智能密码钥匙实现身份鉴别，通用服务器、数据库通过堡垒机进行统一管理。若堡垒机的“身份鉴别”指标的测评结论为“符合”，则通用服务器的身份鉴别可判定为“符合”。

依据GM/T  0115 《信息系统密码应用测评要求》，某信息系统通过堡垒机集中运维管理设备，而堡垒机前部署了合规的SSL VPN，管理员使用合规的身份鉴别机制登录SSL VPN，则在设备和计算安全层面，堡垒机的“身份鉴别”可判定为“符合”。

依据GM/T  0115 《信息系统密码应用测评要求》，在设备和计算安全层面，应将系统中全部的设备做为独立的测评对象进行测评和量化评估。

依据GM/T  0115 《信息系统密码应用测评要求》，交换机、网闸、防火墙、WAF等未使用密码功能的网络设备、安全设备，一般可不作为设备和计算安全层面的测评对象。