**範圍界定(Scoping)**是指檢查基準安全控制並僅選擇適用於您要保護的IT系統的那些控制。例如，如果系統不允許任何兩個人同時登錄，則無需應用並發會話控件。

**裁縫(Tailoring)**是指在基準內修改安全控制列表，以使其與組織的任務保持一致。例如，一個組織可能會決定一組基準控件完全適用於其主要位置的計算機，但是某些控件在遠程辦公室位置並不適用或不可行。在這種情況下，組織可以選擇補償性安全控制以使基線適合遠程位置。

斯圖爾特（James M.）查普，邁克；吉布森，達里爾。CISSP（ISC）2認證的信息系統安全專業人士官方學習指南（Kindle位置5849-5855）。威利。Kindle版(Stewart, James M.; Chapple, Mike; Gibson, Darril. CISSP (ISC)2 Certified Information Systems Security Professional Official Study Guide (Kindle Locations 5849-5855). Wiley. Kindle Edition.)。

驗證與確認(Verification and Validation)

-驗證與確認（V＆V）

參考
. 成熟度模型
. 安全框架和成熟度模型

資料來源： Wentz Wu QOTD-20210115