信息安全管理中，关于脆弱性，以下说法正确的是（）。

A选项错误。识别资产脆弱性时，不仅要考虑资产的固有特性，也需要考虑当前安全控制措施。因为当前安全控制措施可能存在不足或失效的情况，这也会导致资产存在脆弱性，组织资产实际存在的脆弱识别就是需要针对每一评估对象分别分析，哪些资产存在什么样的具体脆弱性，从而形成重要信息资产实际存在的脆弱性列表。脆弱性识别不是简单地看资产是否存在分类列表的脆弱性，而是需要经过细致的调查和技术分析工作实现的，通常所采用的方法主要有问卷调查、人员问询、工具扫描、手动检查、文档审查、渗透测试等。

B选项正确：后门就是技术的脆弱性，脆弱性分2种分类方法，一是分为技术脆弱性和管理脆弱性，二是分为固有脆弱性和防护不足脆弱性。

C选项错误：“网络物理隔离可杜绝其脆弱性被威胁利用的机会”网络物理隔离不可能完全杜绝脆弱性被威胁利用的机会，因为还有其他脆弱性，如断电，水灾等。

D选项明显错误：“组织使用的开源软件不须考虑其技术脆弱性”明显错误，开源软件一样需要考虑其技术脆弱性，所有技术都不可能完美的，都会有相对的弱点，因为脆弱性就是资产的弱点，是固有的。关键是一定要理解“脆弱性”的含义。