CISSP应尽职责与应尽关注

CISSP应尽职责与应尽关注？

看CISSP书时，几乎每个人都会问的一个问题，到底什么是Due Diligence 和 Due care？ 两者怎么区分？ 似乎很难分请啊

我当时也是觉得很难分清，随着多看了几遍书，和老师们讨论，交换意见后，逐渐对此清晰明朗。

首先，建议这两个概念直接记英文，因为发现翻成中文后很多人会去从中文意思上去领会，反而会走入误区。Due Diligence & Due care 中文翻译成“应尽职责”和“应尽关注”，这个真的无法表达真正的含义，甚至还会产生误解。

书上对此的解释是很简单的（OSG一贯如此，很简单的概念描述解释，不讲废话。理解不了是你水平问题）：

Due care is using reasonable care to protect the interests of an organization. Due diligence is practicing the activities that maintain the due care effort. For example, due care is developing a formalized security structure containing a security policy, standards, baselines, guidelines, and procedures. Due diligence is the continued application of this security structure onto the IT infrastructure of an organization.

Due care是使用合理的关注来保护组织的利益。Due diligence是实践保持保证Due Care的成果的活动。例如，Due Care是开发包含安全策略、标准、基线、指导方针和过程的标准化的安全架构。Due diligence是将这种安全架构持续应用于组织的IT基础设施。

先从字义上进行理解，due care 就是应当关注，做每件事要小心地进行；due diligence其实是应当勤勉的意思，就是要勤快不要懒政，要负起责任，不要以“不是我的错，不归我管，我不懂”做借口。

根据书上的解释进行理解，Due care是使用合理的关注来保护组织的利益，什么较合理的关注，我的理解基本就是和你的工作内容直接相关的，财务人员做好帐，保证数据正确及时、合法合规、符合公司要求，这就是直接地保护组织利益也就是due care。Due diligence是要保证due care的成果，也就是非直接的、间接的对组织进行保护，例如，管理层查看财务报表，就一些疑问询问财务人员，关心财务报告的准确性及时性等。这里照中文的意思“应尽职责”就很容易和due care混起来了，due care其实也包含了尽职尽责的意思。

（Due diligence用得较多的常见于财务尽职调查 (Due Diligence Investigation)又称谨慎性调查，一般是指投资人在与目标企业达成初步合作意向后，经协商一致，投资人对目标企业一切与本次投资有关的事项进行现场调查、资料分析的一系列活动。其主要是在收购（投资）等资本运作活动时进行，但企业上市时，也会需要事先进行尽职调查，以初步了解是否具备上市的条件。）