830.下列有关信息安全管理体系的说法中,错误的是

A选项错误。信息安全管理工作的基础是风险评估,而非风险处置。风险评估是信息安全管理体系(ISMS)的第一步,通过对组织机构的信息资产进行评估,确定信息安全风险的大小和可能性,为后续的信息安全管理工作提供依据。nnB选项正确。对于规模较小的组织机构,可以只制定一个信息安全政策,而不需要建立完整的ISMS。信息安全政策是组织机构信息安全管理的基础,它规定了组织机构的信息安全目标、原则、责任和要求,是组织机构信息安全管理的核心文件。nnC选项正确。信息安全策略是组织机构信息安全的最高方针,必须形成书面文件。信息安全策略是组织机构信息安全管理的指导思想和总体要求,它规定了组织机构信息安全的目标、原则、策略和措施,是组织机构信息安全管理的最高层次文件。nnD选项正确。在ISMS建设、实施的同时,必须相应地建立起各种相关文档、文件。ISMS是一个系统工程,需要建立一系列的文件和记录,包括信息安全政策、信息安全手册、信息安全程序、信息安全培训记录、信息安全审计记录等,以确保信息安全管理工作的有效实施和持续改进。