5.  確認(rèn)已有的控制措施

確認(rèn)已有的安全措施，需要依據(jù)背景建立階段輸出的三個(gè)報(bào)告，即《信息系統(tǒng)的描述報(bào)告》、《信息系統(tǒng)的分析報(bào)息告》和《信系統(tǒng)的安全要求報(bào)告》，來(lái)確認(rèn)已有的安全措施，包括技術(shù)層面（物理平臺(tái)、系統(tǒng)平臺(tái)、網(wǎng)絡(luò)平臺(tái)和應(yīng)用平臺(tái)）的安全功能、組織層面（組織結(jié)構(gòu)、崗位和人員）的安全控制和管理層面（策略、規(guī)章和制度）的安全對(duì)策，形成《已有安全措施列表》。

在識(shí)別脆弱性的同時(shí)，評(píng)估人員應(yīng)對(duì)已采取的安全措施的有效性進(jìn)行確認(rèn)。安全措施的確認(rèn)應(yīng)評(píng)估其有效性，即是否真正地降低了系統(tǒng)的脆弱性，抵御了威脅。對(duì)有效的安全措施繼續(xù)保持，以避免不必要的工作和費(fèi)用，防止安全措施的重復(fù)實(shí)施。對(duì)確認(rèn)為不適當(dāng)?shù)陌踩胧?yīng)核實(shí)是否應(yīng)被取消或?qū)ζ溥M(jìn)行修正，或用更合適的安全措施替代。

安全措施主要有預(yù)防性、檢測(cè)性和糾正性三種。預(yù)防性安全措施可以有效降低安全事件發(fā)生的可能性，聘用有能力的人員、實(shí)施訪問(wèn)控制等措施等；檢測(cè)性安全措施可以及時(shí)發(fā)現(xiàn)異常和安全違規(guī)，如部署入侵檢測(cè)系統(tǒng)、有效的審計(jì)機(jī)制等；糾正性安全措施可以減少因安全事件發(fā)生后對(duì)組織或系統(tǒng)造成的影響，如實(shí)施備份策略、進(jìn)行業(yè)務(wù)連續(xù)性規(guī)劃等。

已有安全措施確認(rèn)與脆弱性識(shí)別存在一定的聯(lián)系。一般來(lái)說(shuō)，安全措施的使用將減少系統(tǒng)技術(shù)或管理上的脆弱性，但安全措施確認(rèn)并不需要和脆弱性識(shí)別過(guò)程那樣具體到每個(gè)資產(chǎn)、組件的脆弱性，而是一類具體措施的集合，為風(fēng)險(xiǎn)處理計(jì)劃的制定提供依據(jù)和參考。