按照《关键信息基础设施安全保护条例》的内容，某漏洞平台为增补现有的商用密码系统漏洞库，拟针对某商用密码科研单位实施大规模的渗透性测试，评估并发现潜在的漏洞风险。在实施渗透性测试之前，该商用密码科研单位被认定为关键信息基础设施运营者，则该漏洞平台为了能够合法地实施渗透性测试，需要（ ）。

依据GM/T 0115 《信息系统密码应用测评要求》，某三级信息系统密码应用方案中网络和通信安全层面，“身份鉴别”指标要求验证通信双方身份鉴别的有效性，密评人员应按照密码应用方案的要求进行测评，并将结论体现在密评报告中。

依据GM/T 0115 《信息系统密码应用测评要求
》，被测信息系统有密码应用方案且方案通过评估，密码应用方案中明确“物理和环境安全”层面的测评指标为“不适用”。则根据密码应用方案和方案评估意见，密评人员无需对该层面进行测评，相应测评指标可直接判定为“不适用”。

根据GM/T 0115 《信息系统密码应用测评要求
》，信息系统的测评结论是由量化评估的得分以及风险分析和评价共同决定的。

密评人员在执行GM/T 0115《信息系统密码应用测评要求》中的风险分析和评价环节时，可参考
《信息系统密码应用高风险判定指引》。

根据GM/T 0115 《信息系统密码应用测评要求
》，整体测评环节要考虑单元间、对象间是否存在相互弥补的情况。

根据GM/T 0115 《信息系统密码应用测评要求》，密码应用技术测评要求中的测评单元若涉及两个测评对象，则每个测评对象需要分别进行测评实施和结果判定，再汇总得出测评单元的结果
。

在GM/T 0115 《信息系统密码应用测评要求》中，测评单元由测评指标、测评对象、测评实施这三个要素组成。

在对某三级信息系统进行密评时，只要是GB/T 39786《信息安全技术 信息系统密码应用基本要求》中“应”的条款，则密评人员务必按照GM/T 0115《信息系统密码应用测评要求》中相应的测评指标要求进行测评和结果判定。

信息系统是否涉及GM/T 0115《信息系统密码应用测评要求》中某项测评指标的安全需求，可通过是否采用密码技术实现该条款的安全防护加以判断。

根据GM/T 0115 《信息系统密码应用测评要求
》，对于“宜”的条款，密评人员无需参考方案评估意见，在测评时只需核实密码应用方案中所描述的风险控制措施是否落实即可。