依据GM/T 0115 《信息系统密码应用测评要求 》，在三级信息系统的测评中，针对“建立密码应用岗位责任制度”指标的测评，需要核查相关设备与系统的管理和使用账号是否存在多人共用的情况。

依据GM/T 0115 《信息系统密码应用测评要求 》，交换机、网闸、防火墙、WAF等未使用密码功能的网络设备、安全设备，一般可不作为设备和计算安全层面的测评对象。

依据GM/T 0115 《信息系统密码应用测评要求 》，在设备和计算安全层面，应将系统中全部的设备做为独立的测评对象进行测评和量化评估。

依据GM/T 0115 《信息系统密码应用测评要求 》，某信息系统通过堡垒机集中运维管理设备，而堡垒机前部署了合规的SSL VPN，管理员使用合规的身份鉴别机制登录SSL VPN，则在设备和计算安全层面，堡垒机的“身份鉴别”可判定为“符合”。

依据GM/T 0115 《信息系统密码应用测评要求 》，在设备和计算安全层面，堡垒机使用合规的智能密码钥匙实现身份鉴别，通用服务器、数据库通过堡垒机进行统一管理。若堡垒机的“身份鉴别”指标的测评结论为“符合”，则通用服务器的身份鉴别可判定为“符合”。

依据GM/T 0115 《信息系统密码应用测评要求 》，，某信息系统通过堡垒机对系统中的通用服务器进行统一运维管理，若堡垒机使用合规的智能密码钥匙实现身份鉴别，则在设备和计算安全层面“身份鉴别”指标项中，可不考虑通用服务器的身份鉴别方式。

某三级信息系统，若采用密码模块安全等级为一级的智能密码钥匙（具有商用密码产品认证证书，且证书在有效期内）实现登录堡垒机时的身份鉴别，则智能密码钥匙符合GM/T 0115 《信息系统密码应用测评要求》中对密码产品合规性的要求。

依据GM/T 0115 《信息系统密码应用测评要求 》，若堡垒机登录口令使用合规的SM3算法加密后传输，则堡垒机的身份鉴别可判定为符合。

依据GM/T 0115 《信息系统密码应用测评要求 》，某信息系统通过堡垒机对设备进行集中运维管理，管理员使用合规的智能密码钥匙登录堡垒机，采用基于国密算法的数字签名机制进行身份鉴别，若堡垒机服务端的验签未采用经商用密码检测认证合格的密码产品实现，则堡垒机的“身份鉴别”指标应判为部分符合。

依据GM/T 0115 《信息系统密码应用测评要求 》，经核查，某系统责任单位制定有被测系统的商用密码应用方案，则“建设运行”层面的“制定密码应用方案”测评指标则判定为符合。

某三级信息系统，在其密码应用方案中将设备和计算安全层面的“重要可执行程序完整性、重要可执行程序来源真实性”判定为不适用，且方案通过评估，则在测评过程中，依据GM/T 0115《信息系统密码应用测评要求》，可直接将该项判定为不适用。

依据GM/T 0115 《信息系统密码应用测评要求 》，应用和数据安全层面的测评对象应包含关键业务应用，具体参考经评估通过的密码应用方案设定的范围确定；如无密码应用方案,应根据网络安全等级保护定级报告描述的范围确定。

根据GM/T 0115 《信息系统密码应用测评要求 》，应用和数据安全层面的测评对象包括业务应用系统以及提供身份鉴别、完整性保护、机密性保护、不可否认性功能的密码产品。

依据GM/T 0115 《信息系统密码应用测评要求 》，对云平台的SAAS应用，应用和数据安全层面的测评由云平台负责，租户信息系统密评时可直接复用云平台测评结果。

被测业务应用系统采用基于角色的访问控制策略，用户通过角色配置获得该角色拥有的应用系统权限。依据GM/T 0115《信息系统密码应用测评要求》，应用和数据安全层面“访问控制信息完整性”测评实施主要核查应用系统用户角色配置信息、角色权限配置信息等是否采用了加解密或计算杂凑值等机制进行完整性保护。