Een gap-analyse is een gestructureerde beoordeling die de huidige beveiligingspositie, het beleid en de beheersmaatregelen van een organisatie vergelijkt met de vereisten van een beoogd compliance-framework of -standaard. Het evalueert systematisch elke controlvereiste om vast te stellen of deze volledig, gedeeltelijk of helemaal niet wordt nageleefd, en produceert een gedetailleerd rapport dat de specifieke hiaten tussen de huidige staat en het gewenste complianceniveau belicht.
Een gap-analyse is doorgaans de eerste stap in elk complianceprogramma en biedt een duidelijke routekaart voor herstel door te identificeren welke beheersmaatregelen moeten worden geïmplementeerd, verbeterd of gedocumenteerd. Het stelt organisaties in staat om hun compliance-inspanningen te prioriteren op basis van risico, middelen effectief toe te wijzen en realistische tijdlijnen te stellen voor het behalen van certificering. Regelmatige gap-analyses helpen organisaties ook hun voortgang te volgen en zich aan te passen aan veranderende frameworkvereisten.