A.由顾客制定,服务提供方组织通常没有对这些措施的访问权
B.形成文件,并描述访问服务或系统相关的风险
C.独立执行,不受变更管理过程的影响
D.当评估的风险发生变化时,适当考虑信息安全控制措施变化的需求