根据《密码法》《商用密码应用安全性评估管理办法（试行）》，以下关于商用密码应用安全性评估的说法正确的是（   ）。

依据《信息系统密码应用高风险判定指引》，在网络和通信安全中，通信实体身份鉴别方面的高风险问题可以有缓解措施。

依据《信息系统密码应用高风险判定指引》，虽未采用密码技术对重要区域进入人员进行身份鉴别，但基于生物识别技术（如指纹等）同样保证了人员身份真实性，可酌情降低风险等级。

《信息系统密码应用高风险判定指引》中所涉及的指标要求包括了《信息安全技术 信息系统密码应用基本要求》所有要求项。

依据《信息系统密码应用高风险判定指引》，缓解措施是指可以降低威胁利用安全问题导致安全事件发生造成严重程度的安全措施。

信息系统测评过程中的风险判定只需依据《信息系统密码应用高风险判定指引》所列出的相关安全问题所引发的风险等级做出判断。

某单位在密码改造工作中，采用自实现且未提供安全性证据的密码产品实现数据库的数据存储保密性保护，但考虑到数据仅内网访问，且数据库部署了审计产品，可从一定程度上缓解风险程度。

根据《信息系统密码应用高风险判定指引》，若信息系统中使用了存在安全问题的密码产品、密码服务，则可通过采取一定的缓解措施来降低可能的风险。

根据《信息系统密码应用高风险判定指引》，若信息系统所使用的密码技术未遵循密码相关国家标准和行业标准，则一定会导致信息系统面临高等级安全风险。

根据《信息系统密码应用高风险判定指引》，应确保三级以上的信息系统中使用的密码算法符合法律、法规的规定和密码相关国家标准、行业标准的有关要求，其他级别可酌情考虑。

某信息系统编制了密码应用方案，且方案通过专家评估，方案中明确了不适用的“宜”的指标要求项，在密评时发现密码应用实施情况与方案中所描述的风险控制措施不一致，则这些指标要求项应纳入测评范围。