小张在某单位是负责事信息安全风险管理方面工作的部门领导，主要负责对所在行业的新人进行基本业务素质培训。一次培训的时候，小张主要负责讲解风险评估工作形式，小张认为：1.风险评估工作形式包括：自评估和检查评估；2.自评估是指信息系统拥有、运营或使用单位发起的对本单位信息系统进行风险评估；3.检查评估是信息系统上级管理部门组织或者有关职能部门依法开展的风险评估；4.对信息系统的风险评估方式只能是“自评估”和“检查评估”中的一个，非此即彼；请问小张的所述论点中错误的是哪项：