Guten Tag,
die Nacharbeiten an den von SerNet bereitgestellten Berichten ist für uns unverzichtbar geworden. Neben der Umsetzung von Richtlinien, wie dem Vermerk der Vertraulichkeits-Klassifizierung, erhöhen wir auch die Lesbarkeit signifikant (bei 1500+ Seiten unverzichtbar) und passen den Bericht an unsere CI an. Die genauen Änderungen habe ich ganz unten aufgelistet, gerne stellen wir dem Verantwortlichen auch einen Beispielbericht zu Verfügung.
Ich denke die Individualisierung von Berichten sollte mehr Aufmerksamkeit bekommen. Es kann nicht sein, dass ein Auditor einen Bericht vorgelegt bekommt, der sich nicht an die in diesem Bericht beschriebenen Unternehmensstandards hält (z.B. fehlende Klassifizierung im Footer). Ein ISMS-Tool sollte uns IT-Sicherheitlern Arbeit abnehmen, dabei kostet dieses notwendige Anpassen unnötig und zu viel Zeit. Besonders, weil es nicht beim Initialaufwand bleibt. Die von SerNet bereitgestellten Berichte haben einen recht kurzen Lebenszyklus. Mit den ständigen neuen Versionen steckt viel Personalaufwand dahinter, die neuen Bericht-Versionen anzupassen. Dieser ließe sich recht einfach senken, hier ein paar Ideen:
Ein längerer Lebenszyklus.
Statt vielen kleinen Updates, könnte das Berichts-Repo einmal im Jahr grundsaniert werden.
Bessere Changelogs
Eine genaue Dokumentation, an welchen Berichten was verändert wurde. Dadurch lassen sich Anpassungen priorisieren. Das aktuelle “mehrere Berichte haben Leistungsverbesserungen u.a. erhalten” reicht dafür nicht aus.
Konsolidierung
Listen, Tabellen, Tabellengruppen, … Nicht alle Berichte sind gleich aufgebaut. Das macht das Anpassen nur unnötig schwer. Außerdem implementieren manche Berichte Bookmarks in den Meta-Daten, andere nicht. Berichte können schnell mal mehrere tausend Seiten umfassen, da ist es wichtig im Acrobat ein kleines Inhaltsverzeichnis in der Seitenleiste zu bekommen.
Verwenden von Designs
Der v.Designer bietet die Möglichkeit Designs zu erstellen und auf Objekte anzuwenden. Statt Schriftfarbe, Größe, … manuell zuzuweisen (aktuell bei vielen SerNet-Berichten der Fall) könnte man den Bericht in Designs aufteilen (Überschriften, Erklärungen, Tabellen …). Dadurch könnte der Anwender an zentralen Stellschrauben drehen und schon ist der gesamte Bericht in der Unternehmensfarbe.
Dokumentation
Ist schließlich Code wie jeder andere auch. Kommentare wären gut (Textfeld mit Meta-Tag auf “nicht rendern”), zumindest sollte alles nachvollziehbar benannt sein. Vor kurzem habe ich versucht einen Bericht anzupassen, in dem zwar Designs benutzt, aber so kryptisch benannt wurden, dass es einfacher war alles manuell abzuändern.
Traum: Baustein-Prinzip
Wenn es irgenwie machbar ist, sollte der Bericht erst beim Rendern aus verschiedenen Teilen/Dateien zusammengesetzt werden. SerNet updatet nur die Dateien, die auch wirklich geändert wurden. Teile wie das Deckblatt sollten nicht jedes mal neu eingestellt werden müssen. Das Logo und den Footer einfach abändern zu können sollte viel Kundeninteresse wecken.
Unser Customizing: Ändern von Schriftfarbe, -typ und -größe; Einfügen von eigenem Logo; Erstellen eines eigenen Deckblatts; ggf. Wechsel Hoch-/Querformat (erhöht die Lesbarkeit signifikant), Erstellung von zwei Footern; Viele Formatierungsanpassungen an den Tabellen um die Leserlichkeit zu erhöhen; Anpassungen an den Seitenumbrüchen: Überschriften (z.B. GEBÄUDE) bekommen ein eigenes Deckblatt, in einem Tabellensegment wird nicht umgebrochen, Unterüberschriften (z.B: INF.1) starten auf einer neuen Seite; Änderungen in den Metadaten.
