关于信息安全保障，下列说法正确的是（）

A. 信息安全保障是一个客观到主观的过程，即通过采取技术、管理、工程等手段，对信息资源的保密性、完整性、可用性提供保护，从而给信息系统所有者以信心
B. 信息安全保障的需求是由信息安全策略所决定的，是自上而下的一个过程，在这个过程中，决策者的能力和决心非常重要
C. 信息系统安全并不追求万无一失，而是要根据资金预算，做到量力而行
D. 以上说法都正确