控制活动主要是企业根据风险评估结果，采用相应的控制措施，将风险降至零，是实施内部控制的具体方式。（)

A.信息安全管理体系的建立需要确定信息安全需求，而信息安全需求获取的主要手段就是信息安全风险评估

B.风险评估可以对信息资产进行鉴定和评估，然后对信息资产面对的各种威胁和脆弱性进行评估

C.风险评估可以确定需要实施的具体安全控制措施

D.风险评估的结果应进行相应的风险处置，本质上，风险处置的最佳集合就是信息安全管理体系的控制措施集合

A.员工素质

B.责权配置

C.风险评估

D.独立检查

A.对ISMS范围内的信息资产进行鉴定和估价

B.对信息资产面对的各种威胁和脆弱性进行评估

C.对已存在的成规划的安全控制措施进行界定

D.根据评估结果实施相应的安全控制措施