参考答案: D

详细解析:

信息安全风险评估流程：资产识别一> 脆弱性、威胁识别一> 风险识别一> 风险度量一>  控制措施分析一> 剩余风险分析一> 安全整改计划一>  风险监控风险评估流程包括系统调研（选项中没有）、资产识别、威胁识别、脆弱性识别（包括现有控制措施确认）、风险综合分析以及风险控制计划六个阶段。1.系统调研是熟悉和了解组织和系统的基本情况，对组织IT战略，业务目标、业务类型和业务流程以及所依赖的信息系统基础架构的基本状况和安全需求等进行调研和诊断。2.资产识别是对系统中涉及的重要资产进行识别，并对其等级进行评估，形成资产识别表。3.威胁识别是对系统中涉及的重要资产可能遇到的威胁进行识别，并对其等级进行评估，形成威胁识别表。识别的过程主要包括威胁源分析、历史安全事件分析、实时入侵事件分析几个方面。4.脆弱性识别是对系统中涉及的重要资产可能被对应威胁利用的脆弱性进行识别，并对其等级进行评估，形成脆弱性识别表。5.风险综合分析是根据对系统资产识别，威胁分析，脆弱性评估的情况及收集的数据，定性和定量地评估系统安全现状及风险状况，评价现有保障措施的运行效能及对风险的抵御程度。结合系统的IT战略和业务连续性目标，确定系统不可接受风险范围。6.风险控制计划是针对风险评估中识别的安全风险，特别是不可接受风险，制定风险控制和处理计划，选择有效的风险控制措施将残余风险控制在可接受范围内。