К административному уровню информационной безопасности относятся действия общего характера, предпринимаемые руководством организации.
Главная цель мер административного уровня – сформировать программу работ в области ИБ и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.
Основой программы является политика безопасности, отражающая подход организации к защите своих информационных активов. Руководство каждой организации должно осознать необходимость поддержания режима безопасности и выделения на эти цели значительных ресурсов.

• Административный уровень информационной безопасности

Политика безопасности строится на основе анализа рисков, которые признаются реальными для информационной системы организации. Риск - это ситуация, когда угроза использует уязвимое место для нанесения вреда вашей системе. Политика безопасности обеспечивает основу для внедрения средств обеспечения безопасности путем уменьшения числа уязвимых мест и как следствие уменьшает риск. То, насколько жесткой будет политика, зависит от:

• уровня угроз, которым подвергается организация и видимость организации из внешнего мира (Угроза - это любое событие, которое потенциально может нанести вред организации путем раскрытия, модификации или разрушения информации, или отказа в обслуживании критическими сервисами. Наличие угрозы не означает, что она нанесет вред. Чтобы стать риском, угроза должна использовать уязвимое место в средствах обеспечения безопасности системы и система должна быть видима из внешнего мира. Видимость системы - это мера как интереса злоумышленников к этой системе, так и количества информации, доступной для общего пользования на этой системе);
• уязвимости организации к последствиям потенциальных инцидентов с безопасностью ( Рассматривают два фактора, определяющих уязвимость организации: последствия инцидента с безопасностью и учет политических или организационных последствий).

Анализ рисков обычно производится при помощи матрицы профиля риска, представленной в таблице. Периодически необходима (пере)оценка рисков для контроля эффективности деятельности в области безопасности и для учета изменений обстановки.
Для организаций, деятельность которых регулируется законами, или которые обрабатывают информацию, от которой зависит жизнь людей, могут оказаться более приемлемыми формальные методы оценки риска.
Суть мероприятий по управлению рисками состоит в том, чтобы оценить их размер, выработать эффективные и экономичные меры снижения рисков, а затем убедиться, что риски заключены