某银行将其物理区域按敏感性划分了安全等级，其中金库为最高等级，审核员进入金库审核须得到分行行长批准，针对该场景，以下说法正确的是（）。

A选项的A.9.1.1访问控制策略，与场景不符合，排除，D选项的A.6.1.2职责分离，涉及信息安全角色与职责分配，与物理访问控制的直接要求无关，排除。

B项：敏感区域不可随意排除在审核范围外，需通过控制措施（如审批）确保审核覆盖。

C选项，A.11.1.2物理入口控制，控制：“安全区域应由适合的入口控制保护，以确保只有授权的人员才允许访问”。