关于应用系统中访问控制的描述，不正确的是( )
A．如安全设计和控制合适,可以不用考虑组织的安全策略
B．避免未授权用户的信息访问
C．建立正式的授权程序，分配对应用系统和服务的访问权力
D．建立访问控制策略，并根据业务和安全要求进行评审