A . 完成信息系统识别和威胁识别之后，需要进行信息系统脆弱性识别。
B . 以上答案都不对。
C . 可以根据对信息资产损害程度、技术实现的难易程度、弱点流行程度，采用等级方式对已识别的信息系统脆弱性的严重程度进行赋值。
D . 通过扫描工具或人工等不同方式，识别当前信息系统中存在的脆弱性。