“应有的注意”和“尽职调查”有什么区别？

Question

有人能解释一下“适当注意”和“尽职调查”之间的区别吗？它们看起来非常相似，经过越来越多的研究后，我感到很困惑。

一本科技书是这样描述的：

适当的谨慎是用合理的谨慎来保护一个组织的利益。尽职调查是指从事维持应有的谨慎努力的活动。例如，适当注意正在发展一个正式的安全结构，其中包括安全政策、标准、基线、准则和程序。尽职调查是将此安全结构继续应用于组织的IT基础结构。业务安全是持续维持到期的业务安全

然而，其他在线资源对此的描述如下：

尽职调查是指在采取行动之前进行合理的审查和研究。基本上，“先看再跳”。在法律上，在签订合同之前，你要通过研究合同条款来进行尽职调查。与尽职调查相反的可能是“随意”或“不做家庭作业”。适当的注意是进行持续的必要的维护，以保持正常的工作状态，或遵守在一个情况下人们通常期望的东西。如果由于合同、法规或法律而存在适当的照料情况，则这一点尤为重要。适当注意的反面是“疏忽”。

还有一个人在网上说：

尽职调查:进行必要的研究应有的注意:执行从尽职调查中确定为必要的行动

这些定义似乎都有点不同。帮助?

Answer 1

这个问题有点复杂，因为“尽职调查”在合同法中有一个独特的法律含义，但由于OP添加了CISSP标签，我将把这个答案局限于这方面的通常含义。

简单地说，“尽职调查”是你所知道的，“适当的注意”是你所做的。缺乏“适当注意”可能会使你或你的公司面临法律后果(例如，不遵守关于数据保护的法律)，而缺乏“尽职调查”则更有可能使你有可能做出错误的决定或交易。

“尽职调查”也可以包括核查(知道)已经采取了“适当注意”行动。这是大多数人感到困惑的地方。关键是，“勤奋”是关于知识的。对正确或错误的行为(关心)的认识。你做过研究了吗？你知道你的资产在哪里吗？你的政策被遵守了吗？回答这些问题的都是“尽职调查”。

“适当注意”包括遵循政策、应用补丁、根据法律要求加密数据等活动。

数据保管人往往更关心在处理数据时行使“应有的注意”。数据所有者和管理层往往更关注“尽职调查”(例如，所遵循的政策，并在处理数据时采取‘应有的注意’)。

考虑到这些想法，你可以重新阅读上面提到的例子，也许它们在一起会更有意义。

这可能是一个微妙的区别，但这是一个重要的区别。

完全披露:我只使用了五个月的CISSP。我不认为我的答案是完美的。

Answer 2

我喜欢@JesseM上面的回答，并接受了它作为这个问题的答案。话虽如此，我还想在最近的一本测试准备书中发布另一条回应：

适当的谨慎是用合理的谨慎来保护一个组织的利益。尽职调查是指从事维持应有的谨慎努力的活动。

出于某种原因，这和我有很好的共鸣。

Answer 3

我目前正在写一本手册，我一直在研究这些术语之间的区别。

的确，存在着相互矛盾的观点和定义，因此，就我的目的而言，我认为它们是艺术术语，我将在介绍我的材料时这样说。

尽管如此，我将它们视为反馈循环，并将其概念化为最佳实践-勤奋(收集相关和充分的信息以最佳方式采取行动)；以及时、完整和顺从的方式谨慎(执行最佳行为(S))；回到勤奋(监测和衡量)

我很清楚，这可能不是“经典”的定义；但经过大量阅读，似乎没有一个标准的定义，特别是学科之间的定义。