以下哪一种判断信息系统是否安全的方式是最合理的？（）

A是否己经通过部署安全控制措施消灭了风险

B是否可以抵抗大部分风险

C是否建立了具有自适应能力的信息安全模型

D是否已经将风险控制在可接受的范围内