依據(jù)三個(gè)報(bào)告
　　《信息系統(tǒng)的描述報(bào)告》、《信息系統(tǒng)的分析報(bào)息告》和《信系統(tǒng)的安全要求報(bào)告》
　　確認(rèn)已有的安全措施，包括：
　　技術(shù)層面（物理平臺(tái)、系統(tǒng)平臺(tái)、網(wǎng)絡(luò)平臺(tái)和應(yīng)用平臺(tái)）的安全功能
　　組織層面（組織結(jié)構(gòu)、崗位和人員）的安全控制
　　管理層面（策略、規(guī)章和制度）的安全對(duì)策
　　形成《已有安全措施列表》。
　　控制措施類(lèi)型
　　預(yù)防性、檢測(cè)性和糾正性
　　在識(shí)別脆弱性的同時(shí)，評(píng)估人員應(yīng)對(duì)已采取的安全措施的有效性進(jìn)行確認(rèn)。安全措施的確認(rèn)應(yīng)評(píng)估其有效性，對(duì)有效的安全措施繼續(xù)保持，以避免不必要的工作和費(fèi)用，防止重復(fù)實(shí)施。