经核查，被测业务应用系统无重要信息资源安全标记功能，则应用和数据安全层面“重要信息资源安全标记完整性”指标不适用。

依据GM/T 0115 《信息系统密码应用测评要求 》，应用和数据安全层面“重要数据传输机密性”的测评对象通常包括♘不限于应用系统鉴别数据 、重要业务数据、个人敏感信息、审计数据、日志数据、访问控制数据、重要配置数据等。

依据GM/T 0115 《信息系统密码应用测评要求 》，对于政务信息公开网站、门户网站等面向公众的业务应用系统，由于任何人均可访问，且网站数据可以公开，因此应用和数据安全层面“重要数据存储机密性”指标可判定为“不适用”。

依据GM/T 0115 《信息系统密码应用测评要求 》，在进行应用和数据安全层面“重要数据传输完整性”测评时，如果完整性保护采用的是数字签名技术，则测评人员可使用签名私钥对抓取的签名结果进行验证。

依据GM/T 0115 《信息系统密码应用测评要求 》，在进行应用和数据安全层面“重要数据存储完整性”指标测评时，如果现场条件不允许，可不对存储数据进行篡改测试。

经访谈和文档审查，某电子合同系统采用电子签章系统实现合同签署行为的不可否认性，在应用和数据安全层面“不可否认性”指标测评时，核查电子签章系统产品合规性和密码算法合规性即可 。

根据GM/T 0115 《信息系统密码应用测评要求 》，在对第三/四级信息系统开展应急处置层面“应急策略”指标测评时，测评人员根据系统方提供的如下证据判定该测评指标为“符合”。证据为：被测单位提供的管理制度中具有密码应用应急策略文件，且应急策略中明确了密码应用安全事件监测预警机制、信息报送机制、应急处置措施、系统恢复流程、事件总结等内容。

在测评三级信息系统时，对于设备和计算安全层面“重要可执行程序完整性、重要可执行程序来源真实性”，可由信息系统责任方自行决定是否按照 GM/T 0115《信息系统密码应用测评要求》进行测评和结果判定。

根据GM/T 0115 《信息系统密码应用测评要求 》，对于三级信息系统，在实施各技术安全层面的“访问控制信息完整性”指标测评时，密评人员应根据信息系统的密码应用方案和方案评估意见判定相应指标是否按照标准符合性测评。

根据GM/T 0115 《信息系统密码应用测评要求 》，对于“宜”的条款，存在两种“不适用”情形。

对于三级信息系统，在实施应用和数据安全层面的“不可否认性”指标测评时，若存在相应安全需求，则密评人员应按照GM/T 0115《信息系统密码应用测评要求》相应指标要求进行测评和结果判定。

根据某三级信息系统的密码应用需求，涉及到部分第四级信息系统密码应用的相关指标要求，那么在测评时只需要现场核实这些指标落实情况即可，无需将这些特殊情况的测评实施及结论体现在密码应用安全性评估报告中。

某三级信息系统，在测评应用和数据安全层面的“重要数据传输机密性”指标时，密评人员发现该系统部署了经检测认证合格的服务器密码机（安全等级二级）对重要数据进行加密保护，那么该测评单元的测评实施第二条可以直接判定为“符合” 。

GM/T 0115《信息系统密码应用测评要求》中的风险分析和评价针对单元测评结果中产生的不符合项和部分符合项进行的。

依据GM/T 0115 《信息系统密码应用测评要求 》，在做密钥归档检查时，密评人员应重点核实归档密钥是否仅用于解密被加密的历史信息或验证被签名的历史信息。