明确定义变更控制流程,以弥补漏洞和配置管理;此过程应得到漏洞管理工具的支持,并与您的控制机制(如故障通知单系统)密切合作。漏洞管理工具不仅应通过漏洞和错误检测来支持这一过程,还应通过基于安全威胁关键程序和高风险系统价值的风险评估来支持这一过程。仅当重复扫描时
影响范围是指成功利用漏洞后受到损害的资源范围。如果受脆弱性影响的资源超出了脆弱组件的范围,则受影响组件与脆弱组件不同;如果受漏洞影响的资源于易受攻击的组件,则受影响的组件与易受攻击的组件相同。
如果受影响的组件与易受影响的组件不同,则影响范围将发生变化;否则,影响范围保持不变。该标准不仅可以度量脆弱组件和受影响组件的相同漏洞,还可以度量脆弱组件和受影响组件的不同漏洞。