依据三个报告
　　《信息系统的描述报告》、《信息系统的分析报息告》和《信系统的安全要求报告》
　　确认已有的安全措施，包括：
　　技术层面（物理平台、系统平台、网络平台和应用平台）的安全功能
　　组织层面（组织结构、岗位和人员）的安全控制
　　管理层面（策略、规章和制度）的安全对策
　　形成《已有安全措施列表》。
　　控制措施类型
　　预防性、检测性和纠正性
　　在识别脆弱性的同时，评估人员应对已采取的安全措施的有效性进行确认。安全措施的确认应评估其有效性，对有效的安全措施继续保持，以避免不必要的工作和费用，防止重复实施。