A考虑组织所在管辖范围内的法律法规和相关政策。

B与法律顾问联系，确定适用于组织的国家/地区的法律、法规和其他标准及实务的确切性质。

C与信息技术专家联系，确定是否建立了信息安全和数据保护控制，并对其适当性进行定期检查和评估。

D以上都对。