字體:小 中 大 |
|
|
|
| 2009/10/23 16:29:46瀏覽9173|回應0|推薦0 | |
Due Care and Due Diligence 資訊安全的政策制訂與各項防護機制的施行良窳,對企業組織的高階經理人是至關重要的,因為它們是高階經理人是否善盡 "due care" 與 "due diligence" 的有力證據;一旦公司的資產遭到不當的使用或破壞,相關資安政策的文件與資安機制所產生的 log files,可以用來釐清攸關的責任歸屬,以避免已經善盡維護之責的高階經理人受到不公平的懲處。 為了瞭解 "due care" 與 "due diligence" 的確切意義,我們將先查詢 "due" 與 "diligence" 的字義,接著再探討 "due care" 與 "due diligence" 的詞義。 綜合 Cambridge、Collins 與 Longman 等三本字典對於 "due" 與 "diligence" 的定義,可得知其含意分別為: due: proper, reasonable and suitable. (適當的、合理的、契合的或可被接受的) diligence: "due care" 與 "due diligence" 這兩個詞在資安領域裡所代表的特定意涵為:Something was done in a hard working, careful, detailed and thourogh way. (以努力工作的、審慎的、注重細節的與面面俱到的方式去完成一件事) The "due care" means mindful and attentive when making relevant decisions. 換言之,"due care" 是指相關人員必須熟知與資安有關的法令與準則,並在定奪攸關的決策時將它們考慮進去,而 "due diligence" 是指資安政策的制訂與防護機制的施行,必須是持續的、每日都在進行的活動,不可偶爾為之做做樣子。The "due diligence" means there are continual activities (activities are on going). 以台灣的巴紐外交金援案為例,相關部會有明文規定,外交資金之運用必須開立聯合帳戶,但巴紐案的相關人員明知有此規定,卻在決策時沒有將它考慮進去,反而逕行將外交資金匯入私人帳戶;此外,對於來訪的、宣稱自己是巴紐外交官員的人也沒有對其執行 authentication 的程序,誤把巴紐的老百姓當成巴紐的外交官員。就程序以及法規而言,整起事件就是相關的人員對於外交資金與驗證程序沒有善盡 "due care" 與 "due diligence" 的案例。 |
|
| ( 創作|其他 ) |
