如果密码产品有商用密码产品认证证书但认证证书已经过期，则相应密码应用的密钥管理安全可判为不符合。

若信息系统编制了密码应用方案，且方案通过评估，方案中明确了不适用的“宜”的指标要求项，密码应用安全性评估人员在测评时，该测评指标一定为“不适用”。

对于已建并且正在运行的信息系统，其密码应用方案并不追溯到系统最初规划时的方案，制定的密码应用改造方案可视为该系统的密码应用方案。

在对信息系统密码应用方案进行密评时，如果所有测评指标项评估结论均为通过，则该信息系统密码应用方案密评结论为通过。

某信息系统部署了SSL VPN安全网关，PC端安全浏览器与SSL VPN安全网关之间使用SSL协议建立通信信道，测评时应在PC端安全浏览器与SSL VPN安全网关之间设置抓包点，分析通信信道的安全性。

某三级信息系统部署了1台经检测认证合格的SSL VPN安全网关，则关于该SSL VPN的“密钥管理安全性”测评可以直接判定为“符合”。

在对某三级信息系统进行密评时，通过对应用系统分析核查，发现系统启用了TLS 1.1、TLS 1.2协议，则关于通用要求中的“密码技术合规性”测评单元可直接判定为符合。

某信息系统将登录用户口令进行加密后存储在数据库中，经核查所使用的密码算法为SHA-1，这种口令存储加密保护方式符合要求。

某信息系统编制了密码应用方案，且方案通过专家评估，方案中明确了不适用的“宜”的指标要求项，在密评时发现密码应用实施情况与方案中所描述的风险控制措施不一致，则这些指标要求项应纳入测评范围。

当测评工具接入信息系统条件不成熟时，应与被测单位协商，生成必要的离线数据。

如果证书相关的算法标识符合要求，则认为该证书是合规的。

IPSec协议分析时主要是分析IPSec协议使用的密码算法信息，不需要对证书进行分析。

在密评实施过程中，由于无法获取密钥，因此除了密码杂凑算法的测试外，其他算法的正确性测试均无法开展。

对SM2签名结果的正确性进行测试时，如果可以获取SM2私钥，那么可以根据GB/T32918.2《信息安全技术 SM2椭圆曲线公钥密码算法 第二部分：数字签名算法》，重新进行SM2签名生成，比对生成的SM2 签名是否与被测试的SM2 签名值一致，如果不一致，则说明使用的不是SM2算法。

对SM2加密进行测试时，可以根据GB/T32918.4《信息安全技术 SM2椭圆曲线公钥密码算法 第四部分：公钥加密算法》，进行SM2密文的生成，比对生成的SM2 密文是否与被测试的SM2 密文一致，如果不一致，则说明使用的不是SM2加密算法。