云计算时代来临，移动计算终端也越来越普及，传统的重点依靠网络安全技术控制手段来保护公司的关键信息资产的方法面临挑战。

云计算本身的安全更多要依靠大型的云计算提供商以及技术合作商，即使大型组织拥有私有云，但核心的安全技术还是依赖于平台提供商，所以拥有绝对数量的终端安全成为不少厂家特别是互联网服务商争夺的战场。

然而，互联网服务商提供的终端安全方案并不完全适用于大中型组织，抛开此前爆出的安全丑闻，让信息安全管理者忧心重重不讲，这些厂家提供的终端安全往往是其互联网业务的附属品，它们的目的是为了抢夺市场，增加客户粘性，最多保护互联网用户的个人安全，而并非保护商业组织的安全。

最终用户也不再相信会有更多的防火墙、入侵检测及防御或者安全加密来保护他们的关键系统和数据，他们甚至会认为，这些技术控制纯粹是在浪费金钱，网络接入点无处不在，只要有进入系统的权限，人们可以在任何时间，任何地方自由地获取、处理和分享各类机密的商业数据。

所以，信息安全的成功，对终端用户的依赖越来越大。信息安全管理也需要比以往任何时候更加关注终端用户的安全意识和安全行为。

传统的方法之一会使用高压手段，通过建立苛刻的信息安全惩罚制度，赋予经理们下属违规的连带责任，派以频繁的、必出战果的安全检查行动，甚至利用让违规者抓违规者的令牌传递方法。在安全意识教育方面，使用血淋淋的安全事件教训，配之违规一次，奖金泡汤，诛连经理的场景来教育员工，使员工生活在信息安全的白色恐怖之中。

然而这种通过白色恐怖来恫吓员工，企图让员工遵守信息安全规定的做法并不是很好的信息安全管理方法，人们的工作激情受到了打击，协同合作的氛围越来越淡，员工及部门之间的信任关系也受到了重创，企业文化负责人提辞呈了……

另一传统方法是使用铺天盖地的信息安全推广广告，将安全标语、安全漫画等贴进每一个角落，希望借此能不断地熏陶，能唤醒员工们的信息安全防范意识。

可是忙碌的员工哪有时间关心这些东西？在他们眼中，这些和日常工作有什么关系呢？最终他们在安全的行为方面没有明显的变化。

问题在哪里，您需要如何做？您需要像营销天才一样，向员工推销您的安全政策，您不仅需要信息安全方面的专家、沟通管理的专家，您还需要顶级的内容策划设计师、心理和行为学大师以及营销管理大师，最后，您还需要将这一拨人有效地整合起来，形成一个紧密工作的团队。

在过去的几年中，我为大量的组织创建了许多安全方案。由于公司所属的行业、风险状况和文化的不同，每个项目也都不尽相同。决定我使用的方法的最大的差异之一在于执行官的支持程度。

当我拥有高层的支持时，我使用自上而下的方法。我和管理层一起，建立一个启动和实施安全实践的框架。风险管理战略同组织的战略和目标紧密联系。治理 模式和政策也适用于执行战略和整体保护标准。这种方法的关键在于，有了高层的支持，可以协同、一致并有效地利用资源。人员，流程和技术一起工作来共同管理风险和成本。合规是实施了整体安全方案，而非具体目标的结果。

不是很成熟的组织使用自下而上的方法，操作人员在高层制定政策和程序之前加固核心资产。这种方法的问题之一在于，管理层没有为安全方案指定大的方 向，而只是设定了一些诸如数据防泄漏、端点保护、Web应用防火墙等可能和组织整体战略相脱节的目标。例如：合规成了总体目标，基于修复的需要，技术控制 措施被采购和部署。政策和流程被执行应对一个可以感知的威胁或风险，而不是基于回归到一个整体的框架。所采纳的框架（如ISO 27001标准，COSO，COBIT等等）往往只是被选择性的应用。

简单地说，自下而上是一种战术方法，而自上而下是一种战略方法。

一个好的首席信息安全官将帮助执行管理层了解信息安全对业务的重要性，让它成为可提高现有流程和操作效率的业务驱动力。当安全和业务流程保持一致 时，成本与效益的关系变得更容易被理清。但是无论多么优秀的首席信息安全官，如果没有同跨组织的各个部门工作的能力，没有让其他利益相关者加入的能力，自 上而下的办法是不可能的。

如果您想维持一定的成本，并实行有效的安全，您需要得到并拥有整体业务战略的支持——即使用自上而下的方法。一个自下而上的方法看起来似乎是有效的，但实际上它是非常低效率的。