信息安全風險評估是信息安全管理體系建立的基礎，以下說法錯誤的是？（）
A、信息安全管理體系的建立需要確定信息安全需求，而信息安全需求獲取的主要手段就是信息安全風險評估
B、風險評估可以對信息資產進行鑒定和評估，然后對信息資產面對的各種威脅和脆弱性進行評估
C、風險評估可以確定需要實施的具體安全控制措施
D、風險評估的結果應進行相應的風險處置，本質上，風險處置的最佳集合就是信息安全管理體系的控制措施集合。