Подход «снизу вверх» при обеспечении информационной безопасности предполагает, что инициатива по всем ИБ-мероприятиям исходит от рядовых специалистов или линейных руководителей. 4 Преимущества:

• позволяет использовать имеющиеся ресурсы, экономить время и деньги на составлении сложного плана; 1
• даёт возможность решать сложные проблемы безопасности информационной системы, используя свой опыт. 1

Недостатки: высшее руководство компании не до конца понимает целесообразность и необходимость проведения большинства работ по информационной безопасности. 4 В итоге информационной безопасности уделяется малое внимание, ей занимаются по остаточному принципу, работы зачастую носят несистемный характер. 4

Подход «сверху вниз» предполагает вовлечённость топ-менеджмента и владельцев бизнеса в проблематику информационной безопасности. 4 Преимущества:

• считается более эффективным, поскольку руководство смотрит на информационную безопасность с позиции бизнеса, ведётся оценка рисков; 4
• позволяет получать требуемые ресурсы и принимать необходимые меры, так как комплексная защита информации на предприятии — инициатива руководства. 4

Недостатки: система сложна и отнимает много времени для крупной организации, поддержание и внедрение этих требований требует больших затрат. 1 Также такой подход может быть не способен адаптироваться к новым меняющимся системам и быть жёстким. 1