范围和裁缝(Scoping and Tailoring)

**范围界定(Scoping)**是指检查基准安全控制并仅选择适用於您要保护的IT系统的那些控制。例如，如果系统不允许任何两个人同时登录，则无需应用并发会话控件。

**裁缝(Tailoring)**是指在基准内修改安全控制列表，以使其与组织的任务保持一致。例如，一个组织可能会决定一组基准控件完全适用於其主要位置的计算机，但是某些控件在远程办公室位置并不适用或不可行。在这种情况下，组织可以选择补偿性安全控制以使基线适合远程位置。

斯图尔特（James M.）查普，迈克；吉布森，达里尔。CISSP（ISC）2认证的信息系统安全专业人士官方学习指南（Kindle位置5849-5855）。威利。Kindle版(Stewart, James M.; Chapple, Mike; Gibson, Darril. CISSP (ISC)2 Certified Information Systems Security Professional Official Study Guide (Kindle Locations 5849-5855). Wiley. Kindle Edition.)。

验证与确认(Verification and Validation)

-验证与确认（V＆V）

参考
. 成熟度模型
. 安全框架和成熟度模型

资料来源： Wentz Wu QOTD-20210115