企业可以不成立专门的信息系统安全管理机构对企业的信息安全作出总体规划和全方位严格管理。