對信息安全風險評估要素理解正確的是：（A）
　　A.資產識別的粒度隨著評估范圍、評估目的的不同而不同，既可以是硬件設備，也可以是業務系統，也可以是組織機構
　　B.應針對構成信息系統的每個資產做風險評價
　　C.脆弱性識別是將信息系統安全現狀與國家或行業的安全要求做符合性比對而找出的差距項
　　D.信息系統面臨的安全威脅僅包括人為故意威脅、人為非故意威脅