Отчет по gap-анализу

Хотелось бы сказать несколько слов по поводу отчетов по gap-анализу (сравнение текущей ситуации as-is с тем что должно быть по стандарту to-be).

В моем случае я имею один отчет по трем задачам - сравнение с ISO/IEC 27001:2005, со стандартом по информационной безопасности Банка России CTO ИББС и анализ уязвимостей систем (pentest + vulnerability scan). Собственно с этого отчета и начались наши работы - руководство осознало проблему и был разработан план работ (устранения уязвимостей и приведения в соответствие).

Проблема заключается в том, что такие отчеты обычно разрабатывают в крайне не удобном виде - нет возможности высылать разделы отчета по частям в отделы в рамках их компетенции - в план, к сожалению, суть идентифицированных проблем не помещается, да и не для этого он.

Суть моих рекомендаций, для тех кто будет такие отчеты писать или заказывать эти работы у других компаний, заключается в разбитии отчета на несколько частей со своим титульным листом (разбить физически и логически):

• отдельно выводы для руководства;
• отдельно выводы для специалистов по нормативным документам;
• отдельно выводы по системным продуктам (ЛВС, системное ПО  и прочее);
• отдельно выводы по прикладным системам (желательно, чтобы каждая система описывалась в отдельном разделе);
• отдельно выводы по СУБД;
• отдельно по нарушениям законодательства (комплайнс);
• отдельно выводы по физической безопасности;
• отдельно выводы по управлению СМИБ (риски, внутренние аудиты и прочее);
• отдельно описание разделов стандарта и чего по ним не хватает, чек-листы, формы интервью, протоколы сканирования и почее.

Такая структура имеет более удобный вид представления, позволяет рассылать что нужно кому нужно и грифовать не все, а только отдельные документы (приложения).