商业银行应依据信息科技风险管理策略和风险评估结果，确定潜在风险区域，定义每个业务级别的控制内容，包括（）。

A .访问授权以“必需知道”和“最小授权”为原则；

B .控制对数据和系统的物理和逻辑访问；

C .最高权限用户的审查；

D .验证和调节；

E .审批和授权