按照《关键信息基础设施安全保护条例》，某商用密码服务机构的信息系统被依法认定为关键信息基础设施，在日常安全审计中，发现该信息系统近日来遭受持续的APT攻击，导致了大量商用密码业务数据的泄露，信息系统所在机构立即采取了相应的应急处置措施，♘为了减少对于自身信誉的影响，选择不向主管部门报告，针对该行为，下列表述正确的是（ ）。

依据GM/T 0115 《信息系统密码应用测评要求
》，被测信息系统有密码应用方案且方案通过评估，密码应用方案中明确“物理和环境安全”层面的测评指标为“不适用”。则根据密码应用方案和方案评估意见，密评人员无需对该层面进行测评，相应测评指标可直接判定为“不适用”。

根据GM/T 0115 《信息系统密码应用测评要求
》，信息系统的测评结论是由量化评估的得分以及风险分析和评价共同决定的。

密评人员在执行GM/T 0115《信息系统密码应用测评要求》中的风险分析和评价环节时，可参考
《信息系统密码应用高风险判定指引》。

根据GM/T 0115 《信息系统密码应用测评要求
》，整体测评环节要考虑单元间、对象间是否存在相互弥补的情况。

根据GM/T 0115 《信息系统密码应用测评要求》，密码应用技术测评要求中的测评单元若涉及两个测评对象，则每个测评对象需要分别进行测评实施和结果判定，再汇总得出测评单元的结果
。

在GM/T 0115 《信息系统密码应用测评要求》中，测评单元由测评指标、测评对象、测评实施这三个要素组成。

在对某三级信息系统进行密评时，只要是GB/T 39786《信息安全技术 信息系统密码应用基本要求》中“应”的条款，则密评人员务必按照GM/T 0115《信息系统密码应用测评要求》中相应的测评指标要求进行测评和结果判定。

信息系统是否涉及GM/T 0115《信息系统密码应用测评要求》中某项测评指标的安全需求，可通过是否采用密码技术实现该条款的安全防护加以判断。

根据GM/T 0115 《信息系统密码应用测评要求
》，对于“宜”的条款，密评人员无需参考方案评估意见，在测评时只需核实密码应用方案中所描述的风险控制措施是否落实即可。

根据GM/T 0115 《信息系统密码应用测评要求
》，对于“可”的条款，也存在测评指标“不适用”的情形