IS审计师评估逻辑访问控制时首先应该：（）

• A、记录对系统访问路径的控制
• B、测试访问路径的控制以判断是否起作用
• C、评估与已有政策和实践相关的安全环境
• D、获取并理解信息处理的安全风险