【正确答案】 D

【答案解析】解析：本题考查“风险管理”与“风险评估”的关系。 风险管理是指识别、评估、降低风险到可接受的程度，并实施适当机制控制风险保持在此程度之内的过程。 风险评估的目的是确定信息系统的安全保护等级以及信息系统在现有条件下的安全保障能力级别，进而确定信息系统的安全保护需求。 风险管理则根据风险评估的结果从管理(包括策略与组织)、技术、运行三个层面采取相应的安全控制措施，提高信息系统的安全保障能力级别，使得信息系统的安全保障能力级别高于或等于信息系统的安全保护等级。