信息安全风险评估应该(  )。

A.只需要实施一次就可以

B.根据变化的情况定期或不定期的适时地进行

C.不需要形成文件化评估结果报告

D.仅对网络做定期的扫描就行