以下哪项不是风险评估阶段应该做的？（)

A.信息安全管理体系的建立需要确定信息安全需求，而信息安全需求获取的主要手段就是信息安全风险评估

B.风险评估可以对信息资产进行鉴定和评估，然后对信息资产面对的各种威胁和脆弱性进行评估

C.风险评估可以确定需要实施的具体安全控制措施

D.风险评估的结果应进行相应的风险处置，本质上，风险处置的最佳集合就是信息安全管理体系的控制措施集合

A.优先识别计算机信息系统相关的资产

B.依据财务资产台

C.ISMS范围内对组织业务有价值的资产

D.不包括制造设

A.资产清单

B.资产负责人

C.资产的可接受使用

D.分类指南、信息的标记和处理

A.政策，结构和技术

B.组织，技术和信息

C.硬件，软件和人

D.资产，威胁和脆弱性

A.应考虑组织架构与业务目标的变化对风险评估结果进行再评审

B.应考虑以往未充分识别的威胁对风险评估结果进行再评估

C.制造部增加的生产场所对信息安全风险无影响

D.安全计划应适时更新

A.资产/威胁/脆弱性

B.资产/使命/威胁

C.使命/威胁/脆弱性

D.威胁/脆弱性/使命

A.资产评估

B.威胁评估

C.脆弱性评估

D.风险分析

A.在组织中，应由信息技术责任部门（如信息中心）制定并颁布信息安全方针，为组织的ISMS建设指明方向并提供总体纲领，明确总体要求｡

B.组织的管理层应确保ISMS目标和相应的计划得以制定，信息安全管理目标应明确，可度量，风险管理计划应具体，具备可行性

C.组织的信息安全目标，信息安全方针和要求应传达到全组织范围内，应包括全体员工，同时，也应传达到客户，合作伙伴和供应商等外部各方

D.组织的管理层应全面了解组织所面临的信息安全风险，决定风险可接受级别和风险可接受准则，并确认接受相关残余风险

A.识别用户

B.识别脆弱性

C.评估资产价值

D.计算机安全事件发生的可能性

A.ISMS的复杂度

B.高层管理者对信息安全问题的重视程度

C.ISMS范围内执行的业务的类型

D.适用于认证的标准和法规