关于信息系统脆弱性识别以下哪个说法是错误的？（）

• A、可以根据对信息资产损害程度、技术实现的难易程度、弱点流行程度，采用等级方式对已识别的信息系统脆弱性的严重程度进行赋值。
• B、通过扫描工具或人工等不同方式，识别当前信息系统中存在的脆弱性。
• C、以上答案都不对。
• D、完成信息系统识别和威胁识别之后，需要进行信息系统脆弱性识别。