《信息安全技术信息安全风险评估规范》（GB/T20984-2007）（）

A、规划阶段风险评估的目的是识别系统的业务战略，以支撑系统安全需求及安全战略等
B、设计阶段的风险评估需要根据规划阶段所明确的系统运行环境､资产重要性，提出安全功能需求
C、实施阶段风险评估的目的是根据系统安全需求和运行环境对系统开发､实施过程进行风险识别，并对系统建成后的安全功能进行验证
D、运行维护阶段风险评估的目的是了解和控制运行过程中的安全风险，是一种全面的风险评估｡评估内容包括对真实运行的信息系统､资产､脆弱性等各方面