A、信息安全风险评估应以自评估为主，自评估和检查评估相互结合、互为补充。

B、检查评估可在自评估实施的基础上，对关键环节或重点内容实施抽样评估。

C、检查评估也可委托风险评估服务技术支持方实施，但评估结果仅对检查评估的发起单位负责。

D、检查评估是指信息系统上级管理部门组织有关职能部门开展的风险评估。