在CISSP中,due diligence与due
care的概念基本属于每次必考,但两者的区别对大多数人来说都有些含糊不清。今天就试着整理一下,帮助大家更好地理解这两个概念。
查过不少字词典,有的干脆没收录,有的只是简单的解释,于事无补。
在CCSP学习材料中也专门提到due diligence与due care,我们来看一下
Due diligence is the act of investigating and understanding
the risks a company faces.
Due care is the development and implementation of policies and
procedures to aid in protecting the company, its assets, and its
people from threats.
从上面的说明中,我们看Due
diligence主要是侧重在你有没有意识,属于较主观的。其他人不好评价与衡量的。
Due care则是你是否采取了一些措施。其他人是可以观察到的。
举例
你要外出,1.想着手机会不会电不够用呢,不够用怎么办呢,2.随手把充电宝装口袋了。
1是你的思想活动,有没有“想”就属于Due
diligence,也可能会顺手查看手机电量。想过之后,可能会觉得电够用不带充电宝,也可能会觉得不够用而带上充电宝,这都不重要,重要的是你“想没想”,有没有检查手机电量的意识(这根弦)。
2是你的实际动作。如果你觉得电不够用带了充电宝,但没检查充电宝是否有电,或忘了充电线,那就是没做到Due
care。也就是说虽然采取了相应的动作,但没达到预期的效果。
补充:
前面的例子可能不太适合,在与CISSP考试相关的场景中,Due
care基本上是指“有没有”制订一些策略、流程、规范;而due
diligence则是指是否“尽心尽力”实现了策略、流程、规范的要求了。
上面只是我的个人理解,可能会有偏差。下面转一个他人的解释,供参考。
【转】Due Care和Due Diligence的区别
在信息安全领域,Due
Care实际上是说一个企业要制定各种各样的策略、规程和标准等,用来对企业信息资产的保护,也就是企业应该做的事情;而Due
Diligence则是要保证Due Care要做的那些事情要一直保持在最新状态(being continually
maintained and operational)。
下面这一道来自互联网的题比较有助于理解:
Which of the following would violate the Due Care concept?
A. Security policy being outdated
B. Data owners not laying out the foundation of data
protection
C. Network administrator not taking mandatory two-week vacation as
planned
D. Latest security patches for servers only being installed once a
week
根据上面的解释:
A - Due Diligence:制定Security Policy是Due Care,但没有更新就是Due
Diligence
B - Due Care: 必须要保护数据安全,这个是Due Care,如果你制定了要保护数据安全,但没有做,就是Due
Diligence.
C - Due Diligence:要求定期的休假是Due Care,但没有去休假就是Due Diligence
D - Due Diligence:要求打Patch是Due Care;而每周打一次,不能保证时刻保持系统为最新,违反了Due
Diligence.
|
加载中,请稍候......
加载中…
喜欢