5.  確認已有的控制措施

確認已有的安全措施，需要依據(jù)背景建立階段輸出的三個報告，即《信息系統(tǒng)的描述報告》、《信息系統(tǒng)的分析報息告》和《信系統(tǒng)的安全要求報告》，來確認已有的安全措施，包括技術層面（物理平臺、系統(tǒng)平臺、網(wǎng)絡平臺和應用平臺）的安全功能、組織層面（組織結構、崗位和人員）的安全控制和管理層面（策略、規(guī)章和制度）的安全對策，形成《已有安全措施列表》。

在識別脆弱性的同時，評估人員應對已采取的安全措施的有效性進行確認。安全措施的確認應評估其有效性，即是否真正地降低了系統(tǒng)的脆弱性，抵御了威脅。對有效的安全措施繼續(xù)保持，以避免不必要的工作和費用，防止安全措施的重復實施。對確認為不適當?shù)陌踩胧藢嵤欠駪蝗∠驅ζ溥M行修正，或用更合適的安全措施替代。

安全措施主要有預防性、檢測性和糾正性三種。預防性安全措施可以有效降低安全事件發(fā)生的可能性，聘用有能力的人員、實施訪問控制等措施等；檢測性安全措施可以及時發(fā)現(xiàn)異常和安全違規(guī)，如部署入侵檢測系統(tǒng)、有效的審計機制等；糾正性安全措施可以減少因安全事件發(fā)生后對組織或系統(tǒng)造成的影響，如實施備份策略、進行業(yè)務連續(xù)性規(guī)劃等。

已有安全措施確認與脆弱性識別存在一定的聯(lián)系。一般來說，安全措施的使用將減少系統(tǒng)技術或管理上的脆弱性，但安全措施確認并不需要和脆弱性識別過程那樣具體到每個資產(chǎn)、組件的脆弱性，而是一類具體措施的集合，為風險處理計劃的制定提供依據(jù)和參考。