Qual è la differenza tra "Due Care" e "Due Diligence"?

Naviga le tue risposte
1

Qualcuno può spiegare la differenza tra "dovuta cura" e "due diligence"? Sembrano molto simili tra loro e dopo aver ricercato sempre di più, mi sto confondendo.

Un libro tecnologico lo ha descritto così:

Due care is using reasonable care to protect the interests of an organization. Due diligence is practicing the activities that maintain the due care effort. For example, due care is developing a formalized security structure containing a security policy, standards, baselines, guidelines, and procedures. Due diligence is the continued application of this security structure onto the IT infrastructure of an organization. Operational security is the ongoing maintenance of continued due

Eppure, altre risorse online lo hanno descritto in questo modo:

Due diligence is performing reasonable examination and research before committing to a course of action. Basically, "look before you leap." In law, you would perform due diligence by researching the terms of a contract before signing it. The opposite of due diligence might be "haphazard" or "not doing your homework."

Due care is performing the ongoing maintenance necessary to keep something in proper working order, or to abide by what is commonly expected in a situation. This is especially important if the due care situation exists because of a contract, regulation, or law. The opposite of due care is "negligence."

e ancora un'altra persona online lo ha definito come:

Due Diligence: Performing the necessary research
Due Care: Performing the actions identified as necessary from due diligence

Queste definizioni sembrano tutte leggermente diverse l'una dall'altra. Aiuto?

    
posta Mike B 16.02.2017 - 01:42
fonte

3 risposte

3

Il problema è in qualche modo complicato dal fatto che la "due diligence" ha un significato giuridico distinto nel diritto contrattuale, ma poiché OP ha aggiunto il tag CISSP, limiterò questa risposta al significato usuale in quel contesto.

Metti semplicemente "due diligence" ciò che sai, e "la dovuta attenzione" è ciò che fai. L'assenza di "dovuta attenzione" potrebbe aprire voi o la vostra azienda a conseguenze legali (ad esempio non seguendo la legge sulla protezione dei dati) mentre l'assenza di "due diligence" sarebbe più probabile che vi aprisse a prendere una decisione sbagliata o un affare.

"Due diligence" può anche coprire la verifica (conoscenza) delle azioni di "dovuta cura". Questo è dove la maggior parte delle persone si confondono. Il punto è che la "diligenza" riguarda la conoscenza. Conoscenza di ciò che è giusto o sbagliato (cura). Hai fatto la tua ricerca? Sai dove sono i tuoi beni? Le tue politiche vengono seguite? Rispondere a queste domande sono tutte "due diligence".

"La diligenza" comprende attività come seguire le politiche, applicare le patch, crittografare i dati come richiesto dalla legge.

Spesso i custodi dei dati sono più preoccupati di esercitare "la dovuta attenzione" nella gestione dei dati. I proprietari dei dati e la gestione sono spesso più interessati alla "due diligence" (ad esempio, le politiche vengono seguite e si è esercitata "attenzione" quando si gestiscono i dati).

Tenendo presenti queste idee, puoi rileggere gli esempi citati sopra e forse avranno un po 'più senso insieme.

Può essere una sottile distinzione, ma è importante.

Full disclosure: ho avuto solo il mio CISSP per circa cinque mesi. Non ritengo che la mia risposta sia perfetta.

    
risposta data 16.02.2017 - 02:09
fonte
0

Mi piace la risposta di @ JesseM sopra e l'ho accettata come risposta a questa domanda. Detto questo, ho voluto postare un'altra risposta che ho appena trovato in un libro di preparazione al test:

Due care is using reasonable care to protect the interest of an organization. Due diligence is practicing the activities that maintain the due care effort.

Per qualche ragione, questo risuona bene con me.

    
risposta data 18.04.2017 - 16:18
fonte
0

Attualmente sto scrivendo un manuale e sto facendo delle ricerche sulle distinzioni tra i termini.

È vero, ci sono opinioni e definizioni contrastanti, al punto che, per i miei scopi, li considero termini d'arte, e lo dirò presentando il mio materiale.

Detto questo, li vedo come anelli di feedback e li concettualizzerò come tali per la migliore pratica - la diligenza (raccogliere informazioni pertinenti e sufficienti con le quali agire al meglio); cura (implementare il / i atto / i migliore / i) in modo tempestivo, completo e conforme; torna alla diligenza (monitoraggio e misurazione)

Sono ben consapevole che questa potrebbe non essere la definizione "classica"; ma dopo molte letture, non sembra esserci una definizione standard, in particolare tra le discipline.

    
risposta data 14.09.2018 - 01:36
fonte

Leggi altre domande sui tag

In che modo il nuovo recupero delegato di Facebook è più sicuro rispetto a un sistema di recupero tradizionale L'FBI può scaricare il contenuto del disco di un dispositivo iOS e quindi eseguire in qualche modo CPU virtuali con chiavi diverse?