根据国家发展改革委、商务部联合发布的《市场准入负面清单（2022 年版）》，以下需国家密码局许可的事项有（  ）。

某三级信息系统的系统管理员通过堡垒机对通用服务器进行远程管理，系统管理员登录堡垒机时通过检测认证合格的安全浏览器和智能密码钥匙并基于数字证书的方式进行身份鉴别，数字签名算法为SM2，因此该信息系统在“设备和计算安全 ”层面的通用服务器测评对象的“身份鉴别”指标可以判定为符合。

某三级信息系统所在机房部署符合GM/T 0036《采用非接触卡的门禁系统密码应用指南》的电子门禁系统，使用SM4算法进行密钥分散，实现门禁卡的“一卡一密”，并基于SM4算法对人员身份进行鉴别，因此该系统在“物理和环境安全”层面的“电子门禁记录数据存储完整性”指标可以判定为符合。

测评人员在对某四级信息系统进行测评时，核实该信息系统所属机构建立了密码应用岗位责任制度，设置了密钥管理员、密码安全审计员、密码操作员，其中密钥管理员和密码安全审计员均由被测系统所属机构内部人员担任，密码操作员由被测系统承包商担任，且密码安全审计员与密钥管理员、密码操作员为不同人员，因此针对“人员管理”层面的“建立密码应用岗位责任制度”指标可以判定为符合。

某二级信息系统于2019年进行规划并有密码应用方案且方案通过评估，2020年建设完成后投入运行，2021年开展首次密评，测评人员在测评时仅以该系统在投入运行前未进行密码应用安全性评估为由，对“建设运行”层面的“投入运行前进行密码应用安全性评估”指标判定为“不符合”。

某二级信息系统除了灾备机房外，其中一部分部署在被测系统单位内机房，另一部分部署在云平台（由运营商托管），那么针对“物理和环境安全 ”层面的测评对象仅涉及灾备机房和被测系统单位内机房。

测评人员对某一级信息系统测评时，发现该系统在规划阶段制定了密码应用方案且通过了方案评估，因此针对“建设运行”层面的“制定密码应用方案”指标的量化评估结果可以为1分，判定为符合。

测评人员在对某三级信息系统测评时，发现该信息系统运行过程中未发生任何密码应用安全事件，因此将GB/T 39786中管理要求的“应急处置”相关指标列为不适用。

在对物理和环境安全层面中的“身份鉴别”指标测评时，如果被测信息系统所在物理机房未采用密码技术对机房进入人员进行身份鉴别，但在机房进出口配备专人值守并进行登记，且采用视频监控系统进行实施监控保证机房进入人员身份的真实性，可酌情降低风险等级，但该测评指标的量化评估分数依然是0分。

测评人员利用Wireshark，发现某信息系统传输的重要数据为密文，数据密文长度为128比特，因此可以判定该数据使用SM4或AES密码算法进行了加密保护。

密评人员在测评某信息系统应用和数据安全层面的“身份鉴别”指标时发现，该信息系统有应用管理员和普通用户两类应用用户，其中应用管理员采用基于智能密码钥匙（经检测认证合格）的登录方式，普通用户采用“口令+短信验证码”的登录方式。那么该测评单元的得分为0.5分。