在过去的几年中，我为大量的组织创建了许多安全方案。由于公司所属的行业、风险状况和文化的不同，每个项目也都不尽相同。决定我使用的方法的最大的差异之一在于执行官的支持程度。

当我拥有高层的支持时，我使用自上而下的方法。我和管理层一起，建立一个启动和实施安全实践的框架。风险管理战略同组织的战略和目标紧密联系。治理 模式和政策也适用于执行战略和整体保护标准。这种方法的关键在于，有了高层的支持，可以协同、一致并有效地利用资源。人员，流程和技术一起工作来共同管理风险和成本。合规是实施了整体安全方案，而非具体目标的结果。

不是很成熟的组织使用自下而上的方法，操作人员在高层制定政策和程序之前加固核心资产。这种方法的问题之一在于，管理层没有为安全方案指定大的方 向，而只是设定了一些诸如数据防泄漏、端点保护、Web应用防火墙等可能和组织整体战略相脱节的目标。例如：合规成了总体目标，基于修复的需要，技术控制 措施被采购和部署。政策和流程被执行应对一个可以感知的威胁或风险，而不是基于回归到一个整体的框架。所采纳的框架（如ISO 27001标准，COSO，COBIT等等）往往只是被选择性的应用。

简单地说，自下而上是一种战术方法，而自上而下是一种战略方法。

一个好的首席信息安全官将帮助执行管理层了解信息安全对业务的重要性，让它成为可提高现有流程和操作效率的业务驱动力。当安全和业务流程保持一致 时，成本与效益的关系变得更容易被理清。但是无论多么优秀的首席信息安全官，如果没有同跨组织的各个部门工作的能力，没有让其他利益相关者加入的能力，自 上而下的办法是不可能的。

如果您想维持一定的成本，并实行有效的安全，您需要得到并拥有整体业务战略的支持——即使用自上而下的方法。一个自下而上的方法看起来似乎是有效的，但实际上它是非常低效率的。