首先，建議這兩個(gè)概念直接記英文，因?yàn)榘l(fā)現(xiàn)翻成中文后很多人會(huì)去從中文意思上去領(lǐng)會(huì)，反而會(huì)走入誤區(qū)。Due Diligence & Due care 中文翻譯成“應(yīng)盡職責(zé)”和“應(yīng)盡關(guān)注”，這個(gè)真的無法表達(dá)真正的含義，甚至還會(huì)產(chǎn)生誤解。

Due Care

????????英 [dju? ke?(r)]? ?美 [du? ker]??

????????合理的注意;注意義務(wù);應(yīng)有的職業(yè)關(guān)注

Due Diligence

????????英 [dju? ?d?l?d??ns]? ?美 [du? ?d?l?d??ns]??

????????盡職調(diào)查;盡職審查;謹(jǐn)慎處理;克盡職責(zé);盡職

書上對(duì)此的解釋是很簡單的（OSG一貫如此，很簡單的概念描述解釋，不講廢話。理解不了是你水平問題）：

Due care is using reasonable care to protect the interests of an organization. Due diligence is practicing the activities that maintain the due care effort. For example, due care is developing a formalized security structure containing a security policy, standards, baselines, guidelines, and procedures. Due diligence is the continued application of this security structure onto the IT infrastructure of an organization.

Due care是使用合理的關(guān)注來保護(hù)組織的利益。

Due diligence是實(shí)踐保持保證Due Care的成果的活動(dòng)。

例如，Due Care是開發(fā)包含安全策略、標(biāo)準(zhǔn)、基線、指導(dǎo)方針和過程的標(biāo)準(zhǔn)化的安全架構(gòu)。Due diligence是將這種安全架構(gòu)持續(xù)應(yīng)用于組織的IT基礎(chǔ)設(shè)施。

先從字義上進(jìn)行理解，due care 就是應(yīng)當(dāng)關(guān)注，做每件事要小心地進(jìn)行；

due diligence其實(shí)是應(yīng)當(dāng)勤勉的意思，就是要勤快不要懶政，要負(fù)起責(zé)任，不要以“不是我的錯(cuò)，不歸我管，我不懂”做借口。

根據(jù)書上的解釋進(jìn)行理解，Due care是使用合理的關(guān)注來保護(hù)組織的利益，什么較合理的關(guān)注，我的理解基本就是和你的工作內(nèi)容直接相關(guān)的，財(cái)務(wù)人員做好帳，保證數(shù)據(jù)正確及時(shí)、合法合規(guī)、符合公司要求，這就是直接地保護(hù)組織利益也就是due care。Due diligence是要保證due care的成果，也就是非直接的、間接的對(duì)組織進(jìn)行保護(hù)，例如，管理層查看財(cái)務(wù)報(bào)表，就一些疑問詢問財(cái)務(wù)人員，關(guān)心財(cái)務(wù)報(bào)告的準(zhǔn)確性及時(shí)性等。這里照中文的意思“應(yīng)盡職責(zé)”就很容易和due care混起來了，due care其實(shí)也包含了盡職盡責(zé)的意思。

（Due diligence用得較多的常見于財(cái)務(wù)盡職調(diào)查 (Due Diligence Investigation)又稱謹(jǐn)慎性調(diào)查，一般是指投資人在與目標(biāo)企業(yè)達(dá)成初步合作意向后，經(jīng)協(xié)商一致，投資人對(duì)目標(biāo)企業(yè)一切與本次投資有關(guān)的事項(xiàng)進(jìn)行現(xiàn)場調(diào)查、資料分析的一系列活動(dòng)。其主要是在收購（投資）等資本運(yùn)作活動(dòng)時(shí)進(jìn)行，但企業(yè)上市時(shí)，也會(huì)需要事先進(jìn)行盡職調(diào)查，以初步了解是否具備上市的條件。）

回到CISSP的相關(guān)內(nèi)容，根據(jù)我的理解，Due care是指對(duì)企業(yè)信息安全具有直接作用的措施方法等，尤其是每個(gè)人正確良好地履行自己本職工作中應(yīng)當(dāng)履行的那些職責(zé)。例如：發(fā)布信息安全方針政策、指導(dǎo)文件、標(biāo)準(zhǔn)指南等；設(shè)計(jì)采購安全相關(guān)設(shè)備軟件等；開展信息安全相關(guān)培訓(xùn)；每位員工遵守信息安全規(guī)范，遵守密碼規(guī)范，不透露賬號(hào)密碼，機(jī)密信息按要求加密；清點(diǎn)公司信息資產(chǎn)并分類出需要重點(diǎn)保護(hù)的資產(chǎn)和數(shù)據(jù)，等等。

Due diligence，很可能不是規(guī)定的工作職責(zé)，沒有文件/規(guī)定/規(guī)則，所以要勤勉，自己要負(fù)起責(zé)任，有問題要早發(fā)現(xiàn)早解決。尤其是管理層，因?yàn)楣芾砣藛T可能不會(huì)直接參與信息安全的具體工作，但是管理者尤其是高級(jí)管理層對(duì)信息安全負(fù)有管理責(zé)任，日常工作中是否盡到責(zé)任，是不是去了解過規(guī)定的執(zhí)行狀況，下屬有沒有困難，報(bào)告渠道是否通暢。 Due diligence例子：設(shè)立信息安全崗位配備足夠的人手；聽取和審批用于信息安全的預(yù)算報(bào)告；要求增加信息安全審計(jì)；要求對(duì)準(zhǔn)備收購的公司進(jìn)行信息安全評(píng)估，等等。

總結(jié)一下，Due Care是直接的，有規(guī)定的，職責(zé)內(nèi)的，立竿見影的。

Due Diligence是間接的，態(tài)度意識(shí)上的，自己覺得有責(zé)任的，作用長期而隱性的。

用實(shí)際例子來說明下：

Due Care

– 制定和實(shí)施 IT 安全政策方針 – 時(shí)常監(jiān)控檢查服務(wù)器性能/狀態(tài)（根據(jù)安全要求） – 更新和打補(bǔ)?。ǜ鶕?jù)變更控制要求） – 服務(wù)器發(fā)生問題時(shí)，分析找到問題，修改密碼，報(bào)告等（遵循既有流程規(guī)范）

Due diligence

– 學(xué)習(xí)研究對(duì)于服務(wù)器的安全威脅（關(guān)注相關(guān)網(wǎng)站/郵件列表，等） – 學(xué)習(xí)研究對(duì)于應(yīng)用程序的安全威脅（如，http://ASP.NET?PHP 框架，數(shù)據(jù)庫，SSL證書，認(rèn)證方式等） – 定期討論交流新的技術(shù)，防護(hù)方案（加密體系，防火墻，防病毒，備份方案等）

再舉個(gè)眼下火熱話題的例子，華為根據(jù)預(yù)測和公司戰(zhàn)略提出“極限生存”方略，這就是due diligence，這個(gè)是華為高級(jí)管理層高瞻遠(yuǎn)矚，也就是管理者勤勉的例子，這個(gè)方案的提出不是任何人的職責(zé)范圍，完全是出于責(zé)任而且對(duì)公司發(fā)展的收益也是長期的隱性的。 一旦這個(gè)戰(zhàn)略得到了公司管理層的批準(zhǔn)，那么就逐漸進(jìn)入具體的實(shí)施了，設(shè)計(jì)制造麒麟芯片，開拓多供應(yīng)商供貨渠道，國產(chǎn)化以及扶植國內(nèi)供應(yīng)商，開發(fā)自有操作系統(tǒng)，等等，這些就是due care了，各部門兢兢業(yè)業(yè)，根據(jù)公司的戰(zhàn)略，一步一個(gè)腳印，實(shí)現(xiàn)公司的價(jià)值和業(yè)務(wù)目標(biāo)。

最后分析一道比較有典型性的題，來檢驗(yàn)下：

Which of the following would violate the Due Care concept?

下列哪一項(xiàng)會(huì)違反Due Care的概念?

A. Security policy being outdated 安全政策過期

B. Data owners not laying out the foundation of data protection數(shù)據(jù)所有者沒有制定數(shù)據(jù)保護(hù)的基礎(chǔ)

C. Network administrator not taking mandatory two-week vacation as planned 網(wǎng)絡(luò)管理員沒有按計(jì)劃進(jìn)行2周的強(qiáng)制休假

D. Latest security patches for servers only being installed once a week 服務(wù)器最新安全補(bǔ)丁每周只安裝1次

解題（謹(jǐn)供參考）：

首先ABCD從意思上看都是不太安全的事情，但主要是看哪個(gè)是屬于due care范疇，雖然不好不符合安全準(zhǔn)則但屬于Due diligence的要排除掉。

A – 更多屬于Due Diligence：制定Security Policy是Due Care, 但是過期則屬于無人關(guān)注這方面內(nèi)容，屬于Due Diligence。如果，公司有制度，XXX崗位的負(fù)責(zé)定期檢查policy的有效性，每年至少一次，而這個(gè)崗位的人沒有做，那么這種情況是違反Due Care的。題目并未提及，這里只能按常規(guī)推測，是因?yàn)闆]有明確什么人去檢查造成過期。

B - Due Care: 必須要保護(hù)數(shù)據(jù)安全，而且這個(gè)是數(shù)據(jù)所有者的職責(zé)，這個(gè)是Due Care, 但沒有做，是失職行為，違反Due Care。

C - Due Diligence：說明有這個(gè)強(qiáng)制休假的制度，而且此人也按照要求計(jì)劃了休假，所以Due Care方面已經(jīng)到位了。然而，實(shí)際并沒有休假，這里沒有給出緣由，究竟是有人叫他來加班干活，還是他活來不及干寧可來加班，還是因?yàn)椴粦押靡鈦矶⒅?，如果是因?yàn)樽陨碓蚬室膺`反制度，那是Due Care問題，但是因?yàn)檫@里情況不明，這種情況下責(zé)任就不在這個(gè)管理員身上，應(yīng)該是部門管理者沒有管理好造成制度沒有落實(shí)，甚至管理者都未必知道存在這個(gè)問題和漏洞，所以更傾向于屬于Due Diligence問題。

D - Due Diligence：服務(wù)器必須打Patch是Due Care，然而目前問題是每周打一次，不能保證時(shí)刻保持系統(tǒng)為最新，如果是有制度規(guī)范，例如規(guī)定有Patch了必須在8小時(shí)內(nèi)打好，而負(fù)責(zé)的人沒有按此執(zhí)行，那么是Due care問題。題中未提及，那我們按常理推斷，應(yīng)該并沒有規(guī)定要多長時(shí)間內(nèi)完成，所以打patch的人并不違反Due care，可能公司里面都認(rèn)為有人打patch就可以了，沒有人認(rèn)為目前每周一次的做法存在風(fēng)險(xiǎn)，所以這違反了Due Diligence。

綜上所述，這題選B比較合適。