一个信息系统审计员发现一些被企业处理的硬盘是没有确保数据是不能被恢复的。此外企业没有相应的数据清理策略。信息系统审计员首先要：
A.起草一个审计报告并且与负责的审计人员讨论
B.判断硬盘上的敏感信息
C.与IT主管讨论数据销毁的最佳做法
D.为企业开发一个适当的数据销毁策略
答案与解析：B
虽然没有相关策略，审计人员应该对硬盘上信息的本质进行量化判断和风险评估。起草没有量化风险的审计报告和讨论最佳做法是过早的。一个信息系统审计人员从来不负责策略的制定。