信息安全风险评估中必须有渗透测试项吗？

风险评估和渗透测试必须同步进行吗？还是说需要满足时间跨度？比如4月已经做过渗透测试，10月份做风险评估时，可以选择不做渗透测试吗？