小张在某单位是负责事信息安全风险管理方面工作的部门领导，主要负责对所在行业的新人进行基本业务素质培训。一次培训的时候，小张主要负责讲解风险评估工作形式，小张认为：
1．风险评估工作形式包括：自评估和检查评估；
2．自评估是指信息系统拥有、运营或使用单位发起的对本单位信息系统进行风险评估；
3．检查评估是信息系统上级管理部门组织或者国家有关职能部门依法开展的风险评估；
4．对信息系统的风险评估方式只能是“自评估”和“检查评估”中的一个，非此即彼，
请问小张的所述论点中错误的是哪项（）

A.明确安全总体方针，确保安全总体方针源自业务期望
B.描述所涉及系统的安全现状，提交明确的安全需求文档
C.向相关组织和领导人宣贯风险评估准则
D.对系统规划中安全实现的可能性进行充分分析和论证

A.确保采购定制的设备、软件和其他系统组件满足已定义的安全要求
B.确保整个系统已按照领导要求进行了部署和配置
C.确保系统使用人员已具备使用系统安全功能和安全特性的能力
D.确保信息系统的使用已得到授权

A.信息安全管理是管理者为实现信息安全目标（信息资产的CIA等特性，以及业务运作的持续）而进行的计划、组织、指挥、协调和控制的一系列活动
B.信息安全管理是一个多层面、多因素的过程，依赖于建立信息安全组织、明确信息安全角色及职责、制定信息安全方针策略标准规范、建立有效的监督审计机制等多方面非技术性的努力
C.实现信息安全，技术和产品是基础，管理是关键
D.信息安全管理是人员、技术、操作三者紧密结合的系统工程，是一个静态过程