5. 确认已有的控制措施
确认已有的安全措施,需要依据背景建立阶段输出的三个报告,即《信息系统的描述报告》、《信息系统的分析报息告》和《信系统的安全要求报告》,来确认已有的安全措施,包括技术层面(物理平台、系统平台、网络平台和应用平台)的安全功能、组织层面(组织结构、岗位和人员)的安全控制和管理层面(策略、规章和制度)的安全对策,形成《已有安全措施列表》。
在识别脆弱性的同时,评估人员应对已采取的安全措施的有效性进行确认。安全措施的确认应评估其有效性,即是否真正地降低了系统的脆弱性,抵御了威胁。对有效的安全措施继续保持,以避免不必要的工作和费用,防止安全措施的重复实施。对确认为不适当的安全措施应核实是否应被取消或对其进行修正,或用更合适的安全措施替代。
安全措施主要有预防性、检测性和纠正性三种。预防性安全措施可以有效降低安全事件发生的可能性,聘用有能力的人员、实施访问控制等措施等;检测性安全措施可以及时发现异常和安全违规,如部署入侵检测系统、有效的审计机制等;纠正性安全措施可以减少因安全事件发生后对组织或系统造成的影响,如实施备份策略、进行业务连续性规划等。
已有安全措施确认与脆弱性识别存在一定的联系。一般来说,安全措施的使用将减少系统技术或管理上的脆弱性,但安全措施确认并不需要和脆弱性识别过程那样具体到每个资产、组件的脆弱性,而是一类具体措施的集合,为风险处理计划的制定提供依据和参考。