Riittämätön muutosten hallinta on yleinen syy tietojenkäsittelypalvelujen toiminta- ja turvallisuushäiriöille.

Organisaation on dokumentoitava muutostenhallintaprosessi, jota on noudatettava aina tehtäessä merkittäviä tietoturvallisuuten vaikuttavia muutoksia itse kehitettyihin digipalveluihin tai muihin tietojenkäsittelypalveluihin. Prosessi sisältää vaatimukset mm. seuraaville asioille:

• muutoksen määrittely ja dokumentointi
• riskien arviointi ja tarvittavien hallintakeinojen määrittely
• muutoksen muu vaikutusten arviointi
• testaus ja laadunvarmistus
• muutoksen julkaisun hallittu toteutus
• muutoslokin päivittäminen

Olemme sopineet ja kirjanneet käytännöt, joiden avulla aiempi versio ohjelmistosta voidaan palauttaa, ennen julkaisujen toteuttamista.

Koodin katselmointia, hyväksymistä ja julkaisua varten on määritelty yleiset säännöt ja niiden noudattamista valvotaan.

Säännöt voivat sisältää mm. seuraavia asioita:

• luotu koodi on tarkistettu vasten OWASP-frameworkin yleisiä turvallisen kehittämisen ohjeita
• koodi on katselmoitu vähintään kahden henkilön silmin
• nimetty, valtuutettu käyttäjä on hyväksynyt muutokset ennen julkaisua
• järjestelmän dokumentointi on päivitetty ennen julkaisua
• muutosten julkaisuajankohta on valittu annettujen ohjeiden mukaisesti, jotta häiriötä liiketoimintaprosesseille syntyy mahdollisimman vähän
• käyttäjien tarvitsemat ohjeistukset on päivitetty ennen koodin julkaisua

Säännöillä pyritään hallitsemaan uuden ohjelmakoodin julkaisemiseen liittyviä riskejä.

Järjestelmällisessä turvallisuustyössä merkittävien muutosten vaikutukset on arvioitava ennakkoon ja muutokset toteutettava systemaattisesti. Tahattomien muutosten seuraukset on arvioitava ja pyrittävä lieventämään mahdollisia haittavaikutuksia.

Merkittäviä muutoksia voivat olla mm. organisaatioon, toimintaympäristöön, liiketoimintaprosesseihin sekä tietojärjestelmiin kohdistuvat muutokset. Muutoksia voidaan tunnistaa mm. johdon katselmuksissa sekä muuten toiminnan ohessa.