依據三個報告
　　《信息系統的描述報告》、《信息系統的分析報息告》和《信系統的安全要求報告》
　　確認已有的安全措施，包括：
　　技術層面（物理平臺、系統平臺、網絡平臺和應用平臺）的安全功能
　　組織層面（組織結構、崗位和人員）的安全控制
　　管理層面（策略、規章和制度）的安全對策
　　形成《已有安全措施列表》。
　　控制措施類型
　　預防性、檢測性和糾正性
　　在識別脆弱性的同時，評估人員應對已采取的安全措施的有效性進行確認。安全措施的確認應評估其有效性，對有效的安全措施繼續保持，以避免不必要的工作和費用，防止重復實施。