En la mayoría de los casos de implementación de normas ISO, la diferencia entre la evaluación de riesgos y el análisis de brechas es muy clara. Sin embargo, el análisis de brechas en ISO 27001 llega a confundirse con la evaluación de riesgos, sobre todo si tenemos en cuenta el objetivo común: identificar las deficiencias en la seguridad de la información de la organización.

Pero para entender con claridad cuál es la diferencia entre el análisis de brechas en ISO 27001 y la evaluación de riesgos, según la misma norma, en primer lugar definimos con claridad uno y otra; después  establecemos las diferencias entre ambos.