A、完成信息系统识别和威胁识别之后，需要进行信息系统脆弱性识别。

B、以上答案都不对。

C、可以根据对信息资产损害程度、技术实现的难易程度、弱点流行程度，采用等级方式对已识别的信息系统脆弱性的严重程度进行赋值。

D、通过扫描工具或人工等不同方式，识别当前信息系统中存在的脆弱性。