5.5 已有安全措施確認

在識別脆弱性的同時，評估人員應對已采取的安全措施的有效性進行確認。安全措施的確認應評估其有效性，即是否真正地降低了系統的脆弱性，抵御了威脅。對有效的安全措施繼續保持，以避免不必要的工作和費用，防止安全措施的重復實施。對確認為不適當的安全措施應核實是否應被取消或對其進行修正，或用更合適的安全措施替代。

安全措施可以分為預防性安全措施和保護性安全措施兩種。預防性安全措施可以降低威脅利用脆弱性導致安全事件發生的可能性，如入侵檢測系統；保護性安全措施可以減少因安全事件發生后對組織或系統造成的影響。

已有安全措施確認與脆弱性識別存在一定的聯系。一般來說，安全措施的使用將減少系統技術或管理上的脆弱性，但安全措施確認并不需要和脆弱性識別過程那樣具體到每個資產、組件的脆弱性，而是一類具體措施的集合，為風險處理計劃的制定提供依據和參考。