关于IT风险管理流程，描述错误的是( )。

A．漏洞分析应该从威胁的源头开始寻找，威胁源是在任何环境中都能对系统造成损失的潜在因素

B．控制分析的目的是减少或消除来自于不确定威胁对系统漏洞发起攻击的可能性，通过控制分析的总体评估可以得到关系到系统潜在漏洞的概率

C．风险管理中的风险测定就是测算信息系统风险的具体数值

D．IT风险管理主要有两个方面：一是对内部系统可能存在的漏洞进行排查和分析，另一方面是对来自于外部的潜在威胁进行预判