---
title: "Gap Assessment"
type: concept
tags: [compliance, audit, security]
---

## 定义
识别组织当前控制状态与目标合规框架要求之间差距的系统化评估过程。

## 目的
量化当前状态与目标状态之间的差距，为修复工作提供优先级依据。

## 评估维度
- 控制存在性：控制是否已实施
- 控制有效性：控制是否按设计运作
- 证据完整性：是否有足够证据证明控制有效性

## 产出
- Gap Assessment Report（差距评估报告）
- 优先级修复路线图
- 估计审计就绪时间

## 关键原则
- 每个差距发现必须包含：
  - 具体控制参考（如 CC6.1）
  - 当前状态
  - 目标状态
  - 修复步骤
  - 估计工作量
  - 优先级

## 相关实体
- [[Compliance Auditor]]