1.5 KiB
1.5 KiB
title, type, tags, sources, last_updated
| title | type | tags | sources | last_updated | |
|---|---|---|---|---|---|
| Gap Assessment | concept |
|
2026-04-30 |
Gap Assessment
Definition
差距评估(Gap Assessment)是对照目标合规框架(如 SOC 2、ISO 27001)要求,系统性地评估组织当前安全态势与目标状态之间差距的分析过程。
Core Components
标准格式(ComplianceAuditor 定义)
每个差距发现必须包含:
- 控制引用(Control Reference):框架中对应的控制项编号(如 CC6.1)
- 当前状态(Current State):组织现有的实际状态
- 目标状态(Target State):满足控制要求的目标状态
- 修复步骤(Remediation):具体可执行的修复行动
- 估算工作量(Effort):预计完成所需时间
- 优先级(Priority):基于风险和审计时间线的优先级
评分标准
- Ready (100/100):完全满足要求
- Partial:部分满足,存在差距
- Non-Compliant:完全不满足要求
Deliverable Format
## Gap Assessment Report
**Assessment Date**: YYYY-MM-DD
**Target Certification**: SOC 2 Type II
**Audit Period**: YYYY-MM-DD to YYYY-MM-DD
## Executive Summary
- Overall readiness: X/100
- Critical gaps: N
- Estimated time to audit-ready: N weeks
## Findings by Control Domain
Related Concepts
- SOC 2:主要目标框架
- Continuous Compliance:评估完成后的持续监控机制
- Evidence Collection:差距修复后需要收集的证据