Kaikkien tietojenkäsittelylaitteisiin ja -järjestelmiin tehtävien muutosten tulee noudattaa vahvistettuja muutoksenhallintamenettelyjä. Tällä pyritään ylläpitämään ja varmistamaan tietoturva muutoksia toteutettaessa. Muutosten valvontamenettelyt on dokumentoitava ja valvottava tietojen luottamuksellisuuden, eheyden ja saatavuuden turvaamiseksi kaikissa tietojenkäsittelylaitteistoissa ja järjestelmissä niiden koko elinkaaren ajan, aina suunnitteluvaiheesta, jatkuviin ylläpitotoimiin.
Järjestelmällisessä turvallisuustyössä merkittävien muutosten vaikutukset on arvioitava ennakkoon ja muutokset toteutettava systemaattisesti. Tahattomien muutosten seuraukset on arvioitava ja pyrittävä lieventämään mahdollisia haittavaikutuksia.
Merkittäviä muutoksia voivat olla mm. organisaatioon, toimintaympäristöön, liiketoimintaprosesseihin sekä tietojärjestelmiin kohdistuvat muutokset. Muutoksia voidaan tunnistaa mm. johdon katselmuksissa sekä muuten toiminnan ohessa.
Koodin katselmointia, hyväksymistä ja julkaisua varten on määritelty yleiset säännöt ja niiden noudattamista valvotaan.
Säännöt voivat sisältää mm. seuraavia asioita:
Säännöillä pyritään hallitsemaan uuden ohjelmakoodin julkaisemiseen liittyviä riskejä.
Olemme sopineet ja kirjanneet käytännöt, joiden avulla aiempi versio ohjelmistosta voidaan palauttaa, ennen julkaisujen toteuttamista.
Riittämätön muutosten hallinta on yleinen syy tietojenkäsittelypalvelujen toiminta- ja turvallisuushäiriöille.
Organisaation on dokumentoitava muutostenhallintaprosessi, jota on noudatettava aina tehtäessä merkittäviä tietoturvallisuuten vaikuttavia muutoksia itse kehitettyihin digipalveluihin tai muihin tietojenkäsittelypalveluihin. Prosessi sisältää vaatimukset mm. seuraaville asioille:
Paranna osaamistasi viikoittaisten webinaarien, videokurssien, artikkeleiden ja blogien avulla.
