对于信息安全策略的描述错误的是？（）

• A、信息安全策略是以风险管理为基础，需要做到面面俱到，杜绝风险的存在。
• B、信息安全策略是在有限资源的前提下选择最优的风险管理对策。
• C、防范不足会造成直接的损失；防范过多又会造成间接的损失。
• D、信息安全保障需要从经济、技术、管理的可行性和有效性上做出权衡和取舍。