-盡職調查和應有注意
當談到 CISSP 時，盡職調查 (DD) 的定義是模糊和不一致的。
IMO、DD 需要根據上下文定義標準。法律領域的DD標準與金融領域的標準不同。
在 新南威爾士州的審計署 定義DD的第三方參與方面的標準。這是一個很好的做法。

盡職調查標準（Standard of Due Diligence）
然而，多少勤勉或勤勉程度才足以達到盡職調查的標準？沒有統一或廣泛認同的標準，並且因專業或背景而異。例如，在併購案件的背景下，可能會進行以下專業盡職調查：
. 財務盡職調查 可能側重於發現任何財務異常。
. 法律盡職調查 可能涉及分析公司的協議、許可、所有權和經營的法律地位。
. 資訊安全盡職調查 可能包含資料洩漏審查、網路健康檢查、供應鏈風險評鑑、SDLC 和 DevOps 評估等活動。
資料來源： 有效的 CISSP：安全和風險管理

盡職調查（Due Diligence）
. 詳細 評鑑 一個或多個業務流程或生產線、文化、資產、負債、知識產權、司法和財務狀況，以便 做出外包決策。(ISO 37500:2014)
. 由經濟營運商進行的詳細 評鑑，以評估 供應商 對指導原則的遵守情況。
注 1：在指導原則的背景下，盡職調查是通過第二方審計或第三方審計進行的，並在可行的情況下通過政府檢查和監督進行定期監測。(ISO/IWA 19:2017)
. 在專案或組織活動的整個生命週期中 ，識別組織決策和活動對社會、環境和經濟的實際和潛在負面影響的全面、 主動的過程， 目的是避免和減輕負面影響。(ISO 26000:2010)
. 組織 主動 識別、評估、預防、減輕和說明他們如何解決實際和潛在不利影響的過程，作為決策 和風險管理的一個組成部分 。(ISO 20400:2017)
. 在協議採購 流程的適當階段，對評估準確性、商業誠信、財務穩定性和職能能力完整性所需的組織資訊進行彙編、綜合評估和驗證 (ISO 41011:2017)
. 進一步評估賄賂風險的性質和程度並幫助組織 做出 與特定交易、項目、活動、業務夥伴和人員有關的決策的過程。(ISO 37001:2016)

-盡職調查

-CBK4 中的盡職調查

資料來源： Wentz Wu QOTD-20210913
My Blog: https://choson.lifenet.com.tw/