NIST SDLC和RMF(续)-PartII

-NIST SDLC和RMF

在启动项目後进行系统分类；这意味着已经开发了一个业务案例，并且已选择，接受，批准了替代方案并变成了项目。
安全控制的实施取决於安全措施或安全控制的确定。安全控制框架（SCM），例如NIST SP 800-53，提供了安全控制的初始范围，然後可以对其进行定制或修改。范围界定和剪裁是NIST RMF中“选择控件”步骤的核心概念，其次是“实施控件”步骤。

应用紧急补丁修复高优先级漏洞意味着该系统有权运行。但是，系统分类是在系统开发生命周期（SDLC）的初始阶段进行的。
范围界定是指检查基准安全控制并仅选择适用於您要保护的IT系统的那些控制。例如，如果系统不允许任何两个人同时登录，则无需应用并发会话控件。
斯图尔特（James M.）。CISSP（ISC）2认证的信息系统安全专业人士正式学习指南。威利。

资料来源： Wentz Wu QOTD-20210314