規劃完專案流程後，接著會進入現有作業流程與標準差異分析，目的在找出現有流程與預期標準之間的差距，並制定改進方案。以下是進行差異分析的步驟：

1. 確定參考標準

首先，明確要遵循的資訊安全標準或框架，如：

1. ISO系列：ISO 27001(資訊安全)/27017(雲端安全)/27701(個人資料安全)，由國際標準化組織（英語：International Organization for Standardization，簡稱：ISO 制定
2. NIST網絡安全框架（NIST Cybersecurity Framework），由美國國家標準技術研究所制定
3. GDPR-General Data Protection Regulation (歐盟一般資料保護規則)等，由歐盟制定
4. 其他

這些標準將作為分析的基準，確定哪些安全要求是必須達成的。

2. 收集現有流程資料

收集並記錄組織當前的資訊安全相關作業流程、政策、控制措施和操作規範。這包括存取控制、資料保護、系統監控、事件應對等方面的流程文件和實際操作情況。

加入實務做法，如訪談或是文件搜集以及可能遇到的問題，如不願意提供文件/提供的文件過舊/提供說明與實際措施存在落差

3. 比較與分析

將現有流程與所確定的參考標準進行逐項對比，識別不符合或欠缺的部分。這可以通過問卷調查、訪談相關人員、檢查文件和進行系統稽核來完成。分析應涵蓋以下方面：

• 政策差異：現有的資訊安全政策是否涵蓋了標準中的所有要求。
• 程序差異：實際操作流程是否與標準中的最佳實踐一致。
• 控制措施差異：現有的技術和管理控制措施是否足以滿足標準中的要求。

與公司現有措施分析完差異後，就可以在公司現有基礎下，藉由差異分析的內容在不同控制措施施以不同強度的控制措施去優化資訊安全，以符合國際標準的要求

參考資料：
ISO-https://www.iso.org/standard/27001
NIST-https://www.nist.gov/cyberframework
GDPR-https://gdpr-info.eu/