5.  確認已有的控制措施

確認已有的安全措施，需要依據背景建立階段輸出的三個報告，即《信息系統的描述報告》、《信息系統的分析報息告》和《信系統的安全要求報告》，來確認已有的安全措施，包括技術層面（物理平臺、系統平臺、網絡平臺和應用平臺）的安全功能、組織層面（組織結構、崗位和人員）的安全控制和管理層面（策略、規章和制度）的安全對策，形成《已有安全措施列表》。

在識別脆弱性的同時，評估人員應對已采取的安全措施的有效性進行確認。安全措施的確認應評估其有效性，即是否真正地降低了系統的脆弱性，抵御了威脅。對有效的安全措施繼續保持，以避免不必要的工作和費用，防止安全措施的重復實施。對確認為不適當的安全措施應核實是否應被取消或對其進行修正，或用更合適的安全措施替代。

安全措施主要有預防性、檢測性和糾正性三種。預防性安全措施可以有效降低安全事件發生的可能性，聘用有能力的人員、實施訪問控制等措施等；檢測性安全措施可以及時發現異常和安全違規，如部署入侵檢測系統、有效的審計機制等；糾正性安全措施可以減少因安全事件發生后對組織或系統造成的影響，如實施備份策略、進行業務連續性規劃等。

已有安全措施確認與脆弱性識別存在一定的聯系。一般來說，安全措施的使用將減少系統技術或管理上的脆弱性，但安全措施確認并不需要和脆弱性識別過程那樣具體到每個資產、組件的脆弱性，而是一類具體措施的集合，為風險處理計劃的制定提供依據和參考。