對信息安全風險評估要素理解正確的是：（）
A．資產識別的粒度隨著評估范圍、評估目的的不同而不同，既可以是硬件設備，也可以是業(yè)務系統(tǒng)，也可以是組織機構
B．應針對構成信息系統(tǒng)的每個資產做風險評價
C．脆弱性識別是將信息系統(tǒng)安全現狀與國家或行業(yè)的安全要求做符合性比對而找出的差距項
D．信息系統(tǒng)面臨的安全威脅僅包括人為故意威脅、人為非故意威脅