差距分析是将组织当前状态与ISO标准要求进行系统比较的评估。
差距分析是一种结构化诊断,识别组织当前实践与特定标准要求之间的差异。它生成包含修复优先级和可衡量行动计划的发现图。
建立当前合规水平的量化基线,允许衡量实施进度。
按关键程度对差距进行分类,优先将资源分配给影响最大的不符合项。
为确保诊断可靠,评估者必须独立于将实施纠正的团队。
取决于范围和标准。中型组织的ISO 27001差距分析可在72个工作小时内完成。更复杂的标准或更广泛的范围需要更多时间。
这不是ISO标准的正式要求,但被普遍推荐。它有助于避免认证审核中的重大不符合项。
通常包括:按条款分类的发现报告、包含合规百分比的差距矩阵,以及带有工作量估算的优先行动计划。