Muutostenhallintamenettely olisi dokumentoitava. Dokumentoinnin tulisi sisältää ainakin seuraavat asiat:

• muutosten hallintaan osallistuvien henkilöiden roolit ja vastuut, ottaen huomioon tehtävien erottaminen.
• ohjeet ja ohjeistus muutosten käynnistämisestä ja käsittelystä
• menettely muutosten hyväksymiseksi ja toteuttamiseksi
• menettely, jolla seurataan muutoksen tuloksia ja käsitellään mahdollisia häiriötilanteita.

Organisaation on kehitettävä ja otettava käyttöön vankat muutoksenhallintamenettelyt osana tietojen saatavuuden, aitouden, eheyden ja luottamuksellisuuden säilyttämistä koskevia suojatoimia. Näitä menettelyjä on sovellettava kaikkiin ohjelmistoihin, laitteistoihin, laiteohjelmistokomponentteihin, tieto- ja viestintätekniikkajärjestelmiin ja tietoturvaparametreihin liittyviin muutoksiin. Menettelyjen on sisällettävä seuraavat kriittiset osatekijät:

• Virallisen tarkastusprosessin toteuttaminen sen varmistamiseksi, että kaikki tieto- ja viestintätekniikan tietoturvavaatimukset on täytetty, ennen kuin jokin muutos hyväksytään tai toteutetaan.
• Muutosta pyytävä ja toteuttava ryhmä on riippumaton muutosta tarkastavasta ja hyväksyvästä ryhmästä eturistiriitojen välttämiseksi ja objektiivisuuden varmistamiseksi.

On varmistettava, että roolit ja vastuualueet on jaettu selkeästi ja että ne kattavat seuraavat seikat:

• Muutosten määrittely ja suunnittelu
• asianmukaisen siirtymävaiheen suunnittelu, jolla varmistetaan toiminnan jatkuvuus
• muutoksen valvottu testaus ja viimeistely
• tehokas laadunvarmistus koko muutoksen elinkaaren ajan

Dokumentoi ja ilmoita seuraavat tiedot jokaisesta muutoksesta:

• Muutoksen tarkoitus ja laajuus
• täytäntöönpanon aikataulu
• Muutoksen odotetut tulokset
• Varamenettelyt ja vastuut, mukaan lukien menettelyt muutoksen keskeyttämiseksi ja suunnitelmat epäonnistuneiden tai osittaisten toteutusten korjaamiseksi

Sisällytä erityiset menettelyt kiireellisten tilanteiden käsittelyä varten:

• Määrittele kiireelliset muutosmenettelyt, jotka tarjoavat riittävät suojatoimet huolimatta niiden nopeutetusta luonteesta

On varmistettava, että kaikki kiireelliset muutokset (mukaan lukien kiertotiet ja korjaukset) dokumentoidaan, arvioidaan uudelleen ja arvioidaan käyttöönoton jälkeen sekä hyväksytään virallisesti käyttöönoton jälkeen.

Menettelyyn on sisällytettävä myös turvallisuusvaikutusten arviointi jokaisesta ehdotetusta muutoksesta, jotta voidaan määrittää sen mahdollinen vaikutus olemassa oleviin tieto- ja viestintätekniikan turvallisuustoimenpiteisiin.

Riittämätön muutosten hallinta on yleinen syy tietojenkäsittelypalvelujen toiminta- ja turvallisuushäiriöille.

Organisaation on dokumentoitava muutostenhallintaprosessi, jota on noudatettava aina tehtäessä merkittäviä tietoturvallisuuten vaikuttavia muutoksia itse kehitettyihin digipalveluihin tai muihin tietojenkäsittelypalveluihin. Prosessi sisältää vaatimukset mm. seuraaville asioille:

• muutoksen määrittely ja dokumentointi
• riskien arviointi ja tarvittavien hallintakeinojen määrittely
• muutoksen muu vaikutusten arviointi
• testaus ja laadunvarmistus
• muutoksen julkaisun hallittu toteutus
• muutoslokin päivittäminen

Järjestelmällisessä turvallisuustyössä merkittävien muutosten vaikutukset on arvioitava ennakkoon ja muutokset toteutettava systemaattisesti. Tahattomien muutosten seuraukset on arvioitava ja pyrittävä lieventämään mahdollisia haittavaikutuksia.

Merkittäviä muutoksia voivat olla mm. organisaatioon, toimintaympäristöön, liiketoimintaprosesseihin sekä tietojärjestelmiin kohdistuvat muutokset. Muutoksia voidaan tunnistaa mm. johdon katselmuksissa sekä muuten toiminnan ohessa.