在信息安全风险中，以下哪个说法是正确的？（）

• A、安全需求可通过安全措施得以满足，不需要结合资产价值考虑实施成本。
• B、信息系统的风险在实施了安全措施后可以降为零。
• C、风险评估要识别资产相关要素的关系，从而判断资产面临的风险大小。在对这些要素的评估过程中，不需要充分考虑与这些基本要素相关的各类属性。
• D、风险评估要识别资产相关要素的关系，从而判断资产面临的风险大小。在对这些要素的评估过程中，需要充分考虑与这些基本要素相关的各类属性。