根据《商用密码应用安全性评估FAQ（第二版）》，云上应用密评时，只关注应用本身在各个安全层面的密码应用情况。

某一信息系统通过统一身份认证系统进行身份鉴别，统一身份认证系统未开展密评，则该信息系统测评时应把统一身份认证系统纳入测评范围。

根据《商用密码应用安全性评估FAQ（第二版）》，系统2019年12月27日投入运行， 首次测评时，建设运行方面“投入运行前进行密码应用安全性评估”测评项可判定为不适用。

根据《商用密码应用安全性评估FAQ（第二版）》，系统2019年12月27日投入运行，首次测评不通过，改造后在对信息系统进行复评时，建设运行方面“投入运行前进行密码应用安全性评估”测评项可判定不适用。

某三级信息系统进行密评时，经访谈运维人员后得知，本系统从未发生安全事件，但有应急处置相关管理制度。因此，应急处置方面的向有关主管部门上报处置情况指标为不适用。

在对设备和计算安全层面“身份鉴别”测评指标进行测评时，若运维管理员均未采用密码技术对登录设备的用户进行身份鉴别，则该测评对象的测评结果为不符合。

管理员在本地进行应用服务器登录运维，且应用服务器部署在屏蔽机房内，经核查发现应用服务器关闭了远程运维接口，则针对应用服务器的“远程管理通道安全”测评指标可作为不适用项。

经测评发现，某信息系统中所有设备设置不涉及重要信息资源安全标记，测评人员则对设备和计算安全层面的重要信息资源安全标记完整性测评单元判定结果为不符合。

在对应用用户的应用和数据安全层面“身份鉴别”测评指标进行测评时，若实现用户身份真实性所采用的密码使用不正确或无效，则该测评对象的测评结果为不符合。

对2020年1月1日以后建设运行的信息系统，由于在系统规划时未制定密码应用方案，因此在密评时“制定密码应用方案”测评指标可判定为“不适用 ”。

某三级信息系统部署了1台经检测认证合格的SSL VPN，经核查其产品认证证书，发现证书未标注密码模块安全等级（非换证密码产品）， 则该 SSL VPN应按“密码产品符合一级密码模块”进行判定。

经核查，某三级信息系统通过调用经检测认证合格的服务器密码机（ 密码模块二级）， 使用 HMAC-SM3对应用日志记录进行存储完整性保护，则应用和数据安全层面针对日志记录完整性保护可判定为符合。

在进行密评时，如果信息系统网络安全等级保护定级为四级，但密码应用方案按照信息系统密码应用等级三级进行评审，则可按照信息系统密码应用安全等级三级进行测评。

根据《商用密码应用安全性评估FAQ（第二版）》，某三级信息系统部署了1台经检测认证合格的SSL VPN（密码模块二级），则在设备和计算安全层面，针对该SSL VPN的“身份鉴别”测评指标可直接判定为符合。

根据《商用密码应用安全性评估FAQ（第二版）》，某三级信息系统部署了1台经检测认证合格的SSL VPN（二级密码模块），则在设备和计算安全层面，针对该SSL VPN的“系统资源访问控制信息完整性”“日志记录完整性”测评指标可直接判定为符合。