CISSP的成长之路（十）：复习信息安全管理(4)

　　另外，组织的运作常常还有法律法规方面的要求，这也需要反映到安全策略和流程中去，而法律法规规定了在组织的运作中，谁应该对什么负责和应该怎么做去满足组织的运作要求，这又引入了CISSP CBK中的另外几个重要概念：Duty of loyalty、Due Care和Due Diligence。

　　Duty of loyalty主要是道德及法律上的要求，要求组织成员不应该利用自己所处地位及自己的优势去获得好处；

　　Due Care是要求组织的管理层应该诚实、审慎、对自己及组织负责；而Due Diligence则是要求组织的管理层必须要做的若干使组织符合法律法规、一致性、安全或程序上要求的事情，ISM CBK提供了Due Diligence的七个要点。

　　根据J0ker的理解，Due Care主要是主观上需要，而Due Diligence则是客观上需要的。CISSP考试常常会考察Due Care 和Due Diligence的概念，或利用一个例子来让考生判断是Due Care还是Due Diligence或其他什么概念，在复习时应该多留意一下这几个概念的具体内容和区别。

　　说完了安全文档对安全计划的意义及相关的内容，我们重新把注意力集中回这些文档本身上，先来看一下各文档的定义：

　　Policy：一个组织级的信息安全策略包含了组织管理层对一个安全项目的目标、评价、责任等属性的指导，还定义了一个组织对信息安全的理解。信息安全策略是简短的，并不来自于技术或解决方案的，并为进一步的基于技术或解决方案的Standard（安全标准）等提供管理层的授权。另外如果组织规模较大，还会制定和部署部门级的安全策略文档，它和组织级的安全策略相类似，但也针对部门的职能进行了进一步的描述和规定。在Official Guide中有关于Policy的示例，有需要的朋友可以参考一下。

　　Standard：安全标准是支持安全策略实施，并通过规定具体的标准和实施的方向来支持使安全策略能更为有效执行的文档，它规定了强制性的活动、行为、规则和制度等，通常会规定具体的技术手段、产品或解决方案等，并在组织内部整体实施。