识别和评估 IT 风险的第一步是:
A. 确认企业的风险容忍度。
B. 确定威胁和漏洞。
C. 收集有关当前和未来环境的信息。
D. 审查以前的事故报告和应对活动。
答案与解析：C
A. 风险从业人员必须了解高级管理层的风险偏好和相关的风险容忍度。但这不是第一步，因为风险容忍度在风险应对期间才变得相关。
B. 确定相关的威胁和漏洞很重要，但限于具体情况。
C. 任何风险评估的第一步都是收集现状相关信息，了解企业环境将发生的内部和外部变化（范围、技术、事故、修改等)。
D. 审查以前的事故报告可能对识别和评估 IT 风险有一定的帮助，但将精力集中于这些因素不是明智的做法。