信息安全风险评估中必须包含渗透测试项目吗？

二者必须同步进行吗？还是满足时间跨度即可？比如说4月份进行过渗透测试，那10月份做风险评估，是否可以选择不做渗透测试？