分類
CISSP

DD/DC: Due Diligence and Due Care

DD/DC: Due Diligence與Due Care問題

CISSP社群在談DD/DC問題, 都沒有一致的定義, 基本上大家隨便講,隨便對.
練習題也是差不多, 都是要看那個作者對DD/DC的觀念到那邊或想法是什麼.
所以請大家要多留意網路或不明來源的說法.

以下是我根據工作經驗, 對法律的了解及研究後所歸納的說法:

Due是”應該作的事情,” Diligence是指”勤勞.” 也就是作事要照起工, 不要偷懶. 例如, 合約要看清楚才簽名, 不要偷懶不看清楚就簽名.

Due Diligence既然是強調”應該要勤勞作到基本功,” 但要作到那些基本功? 每個行業有不同的要求. 但有一點是大家都認同的, 就是要作到”事先的調查及了解.” 所以中文常將Due Diligence翻作”盡職調查”還算不錯.

除了一般性的”事先調查及了解”, 法律條文或每個行業的行規可能會針對Due Diligence訂定標準. 因此, 有沒有作到Due Diligence是比較好判斷的. 例如, 以下美國的法律就針對”消費者資料的廢棄作業,” 訂定應有的Due Diligence標準:
https://www.law.cornell.edu/cfr/text/16/682.3

Care就是”小心”的意思. Due Care是指”作事情時要盡到應該有的注意/小心.” 但什麼叫有作到”應該有的小心”並沒有一定的標準, 通常都需要依賴法官的心證. 例如, 送貨的貨車司機撞到人, 在法院上跟法官說他開車的時候都很小心, 有特別注意左右來車及行人. 而且昨天很早睡, 所以開車時精神也很好. 法官說你有作到Due Care就有, 說沒有就沒有. 若沒有作到Due Care, 台灣叫作”應注意而未注意.”

簡單說:
Due Diligence強調事先的調查, 制度的建立, 以及制度的持續性及有效性等, 通常有較明確的標準.
Due Care則是強調事中, 把事情作好. 它沒有客觀的判斷標準, 所以都是有法官判定, 也因此法院的判決常出現未作到Due Care的字眼, 但我找了美國判例, 極少出現Due Diligence.

老外背DD/DC都用一個口訣:
Due Diligenct (DD): Do Detect;
Due Care (DC): Do Correct.
也就是事前的偵測, 事中把事情作正確.

作者: stevencho

從事資訊工作二十多年,對資安極具熱情,在 Network Security, Endpoint Security, 及 Mobile Security 等資安領域有超過十年以 上的經驗。曾任職精誠資訊資安產品代理部門技術經理,負責 資安產品之技術支援與大型企業導入專案。此外,他也取得了 ISO 27001 主導稽核員證書及 Check Point 的 CCSA 與 CCSE 等防 火牆產品的專業證照。