Due Diligence & Due care
首先,建议这两个概念直接记英文,因为发现翻成中文后很多人会去从中文意思上去领会,反而会走入误区。Due Diligence & Due care 中文翻译成“应尽职责”和“应尽关注”,这个真的无法表达真正的含义,甚至还会产生误解。
Due Care
英 [djuː keə(r)] 美 [duː ker]
合理的注意;注意义务;应有的职业关注
Due Diligence
英 [djuː ˈdɪlɪdʒəns] 美 [duː ˈdɪlɪdʒəns]
尽职调查;尽职审查;谨慎处理;克尽职责;尽职
书上对此的解释是很简单的(OSG一贯如此,很简单的概念描述解释,不讲废话。理解不了是你水平问题):
Due care is using reasonable care to protect the interests of an organization. Due diligence is practicing the activities that maintain the due care effort. For example, due care is developing a formalized security structure containing a security policy, standards, baselines, guidelines, and procedures. Due diligence is the continued application of this security structure onto the IT infrastructure of an organization.
Due care是使用合理的关注来保护组织的利益。
Due diligence是实践保持保证Due Care的成果的活动。
例如,Due Care是开发包含安全策略、标准、基线、指导方针和过程的标准化的安全架构。Due diligence是将这种安全架构持续应用于组织的IT基础设施。
先从字义上进行理解,due care 就是应当关注,做每件事要小心地进行;
due diligence其实是应当勤勉的意思,就是要勤快不要懒政,要负起责任,不要以“不是我的错,不归我管,我不懂”做借口。
根据书上的解释进行理解,Due care是使用合理的关注来保护组织的利益,什么较合理的关注,我的理解基本就是和你的工作内容直接相关的,财务人员做好帐,保证数据正确及时、合法合规、符合公司要求,这就是直接地保护组织利益也就是due care。Due diligence是要保证due care的成果,也就是非直接的、间接的对组织进行保护,例如,管理层查看财务报表,就一些疑问询问财务人员,关心财务报告的准确性及时性等。这里照中文的意思“应尽职责”就很容易和due care混起来了,due care其实也包含了尽职尽责的意思。
(Due diligence用得较多的常见于财务尽职调查 (Due Diligence Investigation)又称谨慎性调查,一般是指投资人在与目标企业达成初步合作意向后,经协商一致,投资人对目标企业一切与本次投资有关的事项进行现场调查、资料分析的一系列活动。其主要是在收购(投资)等资本运作活动时进行,但企业上市时,也会需要事先进行尽职调查,以初步了解是否具备上市的条件。)
回到CISSP的相关内容,根据我的理解,Due care是指对企业信息安全具有直接作用的措施方法等,尤其是每个人正确良好地履行自己本职工作中应当履行的那些职责。例如:发布信息安全方针政策、指导文件、标准指南等;设计采购安全相关设备软件等;开展信息安全相关培训;每位员工遵守信息安全规范,遵守密码规范,不透露账号密码,机密信息按要求加密;清点公司信息资产并分类出需要重点保护的资产和数据,等等。
Due diligence,很可能不是规定的工作职责,没有文件/规定/规则,所以要勤勉,自己要负起责任,有问题要早发现早解决。尤其是管理层,因为管理人员可能不会直接参与信息安全的具体工作,但是管理者尤其是高级管理层对信息安全负有管理责任,日常工作中是否尽到责任,是不是去了解过规定的执行状况,下属有没有困难,报告渠道是否通畅。 Due diligence例子:设立信息安全岗位配备足够的人手;听取和审批用于信息安全的预算报告;要求增加信息安全审计;要求对准备收购的公司进行信息安全评估,等等。
总结一下,Due Care是直接的,有规定的,职责内的,立竿见影的。
Due Diligence是间接的,态度意识上的,自己觉得有责任的,作用长期而隐性的。
用实际例子来说明下:
Due Care
– 制定和实施 IT 安全政策方针 – 时常监控检查服务器性能/状态(根据安全要求) – 更新和打补丁(根据变更控制要求) – 服务器发生问题时,分析找到问题,修改密码,报告等(遵循既有流程规范)
Due diligence
– 学习研究对于服务器的安全威胁(关注相关网站/邮件列表,等) – 学习研究对于应用程序的安全威胁(如,http://ASP.NET PHP 框架,数据库,SSL证书,认证方式等) – 定期讨论交流新的技术,防护方案(加密体系,防火墙,防病毒,备份方案等)
再举个眼下火热话题的例子,华为根据预测和公司战略提出“极限生存”方略,这就是due diligence,这个是华为高级管理层高瞻远瞩,也就是管理者勤勉的例子,这个方案的提出不是任何人的职责范围,完全是出于责任而且对公司发展的收益也是长期的隐性的。 一旦这个战略得到了公司管理层的批准,那么就逐渐进入具体的实施了,设计制造麒麟芯片,开拓多供应商供货渠道,国产化以及扶植国内供应商,开发自有操作系统,等等,这些就是due care了,各部门兢兢业业,根据公司的战略,一步一个脚印,实现公司的价值和业务目标。
最后分析一道比较有典型性的题,来检验下:
Which of the following would violate the Due Care concept?
下列哪一项会违反Due Care的概念?
A. Security policy being outdated 安全政策过期
B. Data owners not laying out the foundation of data protection数据所有者没有制定数据保护的基础
C. Network administrator not taking mandatory two-week vacation as planned 网络管理员没有按计划进行2周的强制休假
D. Latest security patches for servers only being installed once a week 服务器最新安全补丁每周只安装1次
解题(谨供参考):
首先ABCD从意思上看都是不太安全的事情,但主要是看哪个是属于due care范畴,虽然不好不符合安全准则但属于Due diligence的要排除掉。
A – 更多属于Due Diligence:制定Security Policy是Due Care, 但是过期则属于无人关注这方面内容,属于Due Diligence。如果,公司有制度,XXX岗位的负责定期检查policy的有效性,每年至少一次,而这个岗位的人没有做,那么这种情况是违反Due Care的。题目并未提及,这里只能按常规推测,是因为没有明确什么人去检查造成过期。
B - Due Care: 必须要保护数据安全,而且这个是数据所有者的职责,这个是Due Care, 但没有做,是失职行为,违反Due Care。
C - Due Diligence:说明有这个强制休假的制度,而且此人也按照要求计划了休假,所以Due Care方面已经到位了。然而,实际并没有休假,这里没有给出缘由,究竟是有人叫他来加班干活,还是他活来不及干宁可来加班,还是因为不怀好意来盯着,如果是因为自身原因故意违反制度,那是Due Care问题,但是因为这里情况不明,这种情况下责任就不在这个管理员身上,应该是部门管理者没有管理好造成制度没有落实,甚至管理者都未必知道存在这个问题和漏洞,所以更倾向于属于Due Diligence问题。
D - Due Diligence:服务器必须打Patch是Due Care,然而目前问题是每周打一次,不能保证时刻保持系统为最新,如果是有制度规范,例如规定有Patch了必须在8小时内打好,而负责的人没有按此执行,那么是Due care问题。题中未提及,那我们按常理推断,应该并没有规定要多长时间内完成,所以打patch的人并不违反Due care,可能公司里面都认为有人打patch就可以了,没有人认为目前每周一次的做法存在风险,所以这违反了Due Diligence。
综上所述,这题选B比较合适。
