建立信息安全管理框架时要确定管理目标和选择管理措施,其基本原则是
A.
有些风险的后果是无法用金钱来衡量的,所以费用不应考虑
B.
费用应不高于风险所造成的损失
C.
费用应不低于风险所造成的损失
D.
费用与风险所造成的损失大致相当即可
正确答案是B