A、信息安全管理體系的建立需要確定信息安全需求，而信息安全需求獲取的主要手段就是信息安全風(fēng)險評估
B、風(fēng)險評估可以對信息資產(chǎn)進(jìn)行鑒定和評估，然后對信息資產(chǎn)面對的各種威脅和脆弱性進(jìn)行評估
C、風(fēng)險評估可以確定需要實施的具體安全控制措施
D、風(fēng)險評估的結(jié)果應(yīng)進(jìn)行相應(yīng)的風(fēng)險處置，本質(zhì)上，風(fēng)險處置的最佳集合就是信息安全管理體系的控制措施集合