要很好的评估信息安全风险,可以通过:() A.评估IT资产和IT项目的威胁 B.用公司的以前的真的损失经验来决定现在的弱点和威胁 C.审查可比较的组织公开的损失统计 D.审查在审计报告中的可识别的IT控制缺陷