以下哪項不是風險評估階段應該做的？（）
A、對ISMS范圍內(nèi)的信息資產(chǎn)進行鑒定和估價
B、對信息資產(chǎn)面對的各種威脅和脆弱性進行評估
C、對已存在的成規(guī)劃的安全控制措施進行界定。
D，根據(jù)評估結(jié)果實施相應的安全控制措施