網路城邦
上一篇 回創作列表 下一篇   字體:
資訊安全:Due Care and Due Diligence
2009/10/23 16:29:46瀏覽9234|回應0|推薦0
Due Care and Due Diligence

資訊安全的政策制訂與各項防護機制的施行良窳,對企業組織的高階經理人是至關重要的,因為它們是高階經理人是否善盡 "due care" 與 "due diligence" 的有力證據;一旦公司的資產遭到不當的使用或破壞,相關資安政策的文件與資安機制所產生的 log files,可以用來釐清攸關的責任歸屬,以避免已經善盡維護之責的高階經理人受到不公平的懲處。

為了瞭解 "due care" 與 "due diligence" 的確切意義,我們將先查詢 "due" 與 "diligence" 的字義,接著再探討 "due care" 與 "due diligence" 的詞義。

綜合 Cambridge、Collins 與 Longman 等三本字典對於 "due" 與 "diligence" 的定義,可得知其含意分別為:

due:
proper, reasonable and suitable. (適當的、合理的、契合的或可被接受的)

diligence:
Something was done in a hard working, careful, detailed and thourogh way. (以努力工作的、審慎的、注重細節的與面面俱到的方式去完成一件事)


"due care" 與 "due diligence" 這兩個詞在資安領域裡所代表的特定意涵為:

The "due care" means mindful and attentive when making relevant decisions.

The "due diligence" means there are continual activities (activities are on going).

換言之,"due care" 是指相關人員必須熟知與資安有關的法令與準則,並在定奪攸關的決策時將它們考慮進去,而 "due diligence" 是指資安政策的制訂與防護機制的施行,必須是持續的、每日都在進行的活動,不可偶爾為之做做樣子。

以台灣的巴紐外交金援案為例,相關部會有明文規定,外交資金之運用必須開立聯合帳戶,但巴紐案的相關人員明知有此規定,卻在決策時沒有將它考慮進去,反而逕行將外交資金匯入私人帳戶;此外,對於來訪的、宣稱自己是巴紐外交官員的人也沒有對其執行 authentication 的程序,誤把巴紐的老百姓當成巴紐的外交官員。就程序以及法規而言,整起事件就是相關的人員對於外交資金與驗證程序沒有善盡 "due care" 與 "due diligence" 的案例。

 
( 創作其他 )
推薦文章 列印 加入我的文摘
上一篇 回創作列表 下一篇

引用
引用網址:https://classic-blog.udn.com/article/trackback.jsp?uid=chungchia&aid=3430753