,说明机构安全Р119 安全策略 1Р 工作的总体目标、范围、原则Р 和安全框架等。Р 应对安全管理活动中的各类管Р120 1Р 理内容建立安全管理制度;Р 应对要求管理人员或操作人员Р 管理制度Р121 执行的日常管理操作建立操作 1Р 安全策略和Р 规程;Р 管理制度Р 应形成由安全策略、管理制Р 度、操作规程、记录表单等Р122 1Р 构成的全面的信息安全管理Р 制度体系。Р 应指定或授权专门的部门或人Р123 1Р 员负责安全管理制度的制定;Р 制定和发布Р安全策略和Р 管理制度Р 制定和发布Р 安全管理制度应通过正式、有Р124 效的方式发布,并进行版本控 0.5Р 制。Р 应定期对安全管理制度的合理Р 性和适用性进行论证和审定,Р125 评审和修订 0.5Р 对存在不足或需要改进的安全Р 管理制度进行修订。Р 应设立信息安全管理工作的职Р 能部门,设立安全主管、安全Р126 1Р 管理各个方面的负责人岗位,Р 并定义各负责人的职责;Р 岗位设置Р 应设立系统管理员、网络管理Р 员、安全管理员等岗位,并定Р127 1Р 义部门及各个工作岗位的职Р 责;Р 应成立指导和管理信息安全Р 工作的委员会或领导小组,Р128 1Р 其最高领导由单位主管领导Р 委任或授权。Р 应配备一定数量的系统管理员Р129 、网络管理员、安全管理员 1Р 人员配备等;Р 应配备专职安全管理员,不Р130 0.7Р 可兼任。Р 应根据各个部门和岗位的职责Р131 明确授权审批事项、审批部门 1Р 和批准人等;Р 授权和审批应针对系统变更、重要操作、Р 物理访问和系统接入等事项建Р132 立审批程序,按照审批程序执 0.7Р 行审批过程,对重要活动建立Р 逐级审批制度;Р 应定期审查审批事项,及时Р133 更新需授权和审批的项目、 0.5Р 审批部门和审批人等信息。Р 安全管理机Р 构和人员