最佳做法是为每个用户分配 **一到二** 个数据安全角色组，即选项 C。

### 专业分析：

1. **安全性**：
- 分配过多的角色组可能导致权限的过度扩散，使得用户拥有不必要的访问权限，从而增加数据泄露的风险。
- 控制在一到两个角色组有助于限制用户权限在合理范围内，确保用户只能访问与其角色相关的数据。

2. **管理简便性**：
- 为用户分配有限数量的角色组简化了权限管理，使得管理员更容易追踪和调整用户的权限。
- 如果权限发生变化，只需调整特定角色组的权限即可，无需逐个修改用户的设置。

3. **业务需求**：
- 一到两个角色组可以有效覆盖大多数用户的功能需求，避免过度复杂的权限配置导致管理负担。
- 在一些情况下，比如用户需要跨部门工作，可能需要两个角色组，但通常不建议超过这一数量。

4. **合规性**：
- 许多数据保护法规要求严格的权限控制，通过限制角色组数量，可以更好地遵循这些法律法规。

综上所述，**一到两个角色组**可以在保证安全性的同时满足用户需求，并简化权限管理流程。