Программу верхнего уровня возглавляет лицо, отвечающее за ИБ организации. У этой программы следующие главные цели:

• управление рисками (оценка рисков, выбор средств защиты);
• координация деятельности в области ИБ, пополнение и распределение ресурсов;
• стратегическое планирование;
• контроль деятельности в области ИБ.

В рамках программы верхнего уровня принимаются стратегические решения по обеспечению безопасности, оцениваются технологические новинки. Контроль деятельности в области безопасности имеет двустороннюю направленность. Во-первых, необходимо гарантировать, что действия организации не противоречат законам. При этом следует поддерживать контакты с внешними контролирующими организациями. Во-вторых, нужно постоянно отслеживать состояние безопасности внутри организации, реагировать на случаи нарушений и дорабатывать защитные меры с учетом изменения обстановки.
Цель программы нижнего уровня – обеспечить надежную и экономичную защиту конкретного сервиса или группы однородных сервисов. На этом уровне решается, какие следует использовать механизмы защиты; закупаются и устанавливаются технические средства; выполняется повседневное администрирование; отслеживается состояние слабых мест и т.п. Обычно за программу нижнего уровня отвечают администраторы сервисов.
Если синхронизировать программу безопасности нижнего уровня с жизненным циклом защищаемого сервиса, можно добиться большего эффекта с меньшими затратами. При этом рассматривают следующие этапы:
Инициация – выявляется необходимость в приобретении нового сервиса, документируется его предполагаемое назначение.
Закупка – составляются спецификации, прорабатываются варианты приобретения и закупка.
Установка –сервис устанавливается, конфигурируется, тестируется и вводится в эксплуатацию.
Эксплуатация– сервис не только работает и администрируется, но и модифицируется.
Выведение из эксплуатации – происходит переход на новый сервис.