Järjestelmällisessä turvallisuustyössä merkittävien muutosten vaikutukset on arvioitava ennakkoon ja muutokset toteutettava systemaattisesti. Tahattomien muutosten seuraukset on arvioitava ja pyrittävä lieventämään mahdollisia haittavaikutuksia.
Merkittäviä muutoksia voivat olla mm. organisaatioon, toimintaympäristöön, liiketoimintaprosesseihin sekä tietojärjestelmiin kohdistuvat muutokset. Muutoksia voidaan tunnistaa mm. johdon katselmuksissa sekä muuten toiminnan ohessa.
Riittämätön muutosten hallinta on yleinen syy tietojenkäsittelypalvelujen toiminta- ja turvallisuushäiriöille.
Organisaation on dokumentoitava muutostenhallintaprosessi, jota on noudatettava aina tehtäessä merkittäviä tietoturvallisuuten vaikuttavia muutoksia itse kehitettyihin digipalveluihin tai muihin tietojenkäsittelypalveluihin. Prosessi sisältää vaatimukset mm. seuraaville asioille:
Organisaatiolla on oltava suunniteltuna säännöt kiireellisiä poikkeustilanteita, kuten hätätilanteita varten, joissa sääntöjä noudattamalla normaalista muutostenhallintamenettelystä voidaan poiketa.
Muutostenhallintamenettelystä poikkeamisen sääntöjen tulisi sisältää viittaukset ja vertaukset normaaliin muutostenhallintamenettelyyn sekä mm. tarvittavat todisteet toteutetusta poikkeamisesta.