Riittämätön muutosten hallinta on yleinen syy tietojenkäsittelypalvelujen toiminta- ja turvallisuushäiriöille.

Organisaation on dokumentoitava muutostenhallintaprosessi, jota on noudatettava aina tehtäessä merkittäviä tietoturvallisuuten vaikuttavia muutoksia itse kehitettyihin digipalveluihin tai muihin tietojenkäsittelypalveluihin. Prosessi sisältää vaatimukset mm. seuraaville asioille:

• muutoksen määrittely ja dokumentointi
• riskien arviointi ja tarvittavien hallintakeinojen määrittely
• muutoksen muu vaikutusten arviointi
• testaus ja laadunvarmistus
• muutoksen julkaisun hallittu toteutus
• muutoslokin päivittäminen

Olemme sopineet ja kirjanneet käytännöt, joiden avulla aiempi versio ohjelmistosta voidaan palauttaa, ennen julkaisujen toteuttamista.

Vain ennalta määritellyt, valtuutetut käyttäjät saavat julkaista muutoksia koodiin.

Koodin katselmointia, hyväksymistä ja julkaisua varten on määritelty yleiset säännöt ja niiden noudattamista valvotaan.

Säännöt voivat sisältää mm. seuraavia asioita:

• luotu koodi on tarkistettu vasten OWASP-frameworkin yleisiä turvallisen kehittämisen ohjeita
• koodi on katselmoitu vähintään kahden henkilön silmin
• nimetty, valtuutettu käyttäjä on hyväksynyt muutokset ennen julkaisua
• järjestelmän dokumentointi on päivitetty ennen julkaisua
• muutosten julkaisuajankohta on valittu annettujen ohjeiden mukaisesti, jotta häiriötä liiketoimintaprosesseille syntyy mahdollisimman vähän
• käyttäjien tarvitsemat ohjeistukset on päivitetty ennen koodin julkaisua

Säännöillä pyritään hallitsemaan uuden ohjelmakoodin julkaisemiseen liittyviä riskejä.