Organisaation on kehitettävä ja otettava käyttöön vankat muutoksenhallintamenettelyt osana tietojen saatavuuden, aitouden, eheyden ja luottamuksellisuuden säilyttämistä koskevia suojatoimia. Näitä menettelyjä on sovellettava kaikkiin ohjelmistoihin, laitteistoihin, laiteohjelmistokomponentteihin, tieto- ja viestintätekniikkajärjestelmiin ja tietoturvaparametreihin liittyviin muutoksiin. Menettelyjen on sisällettävä seuraavat kriittiset osatekijät:

• Virallisen tarkastusprosessin toteuttaminen sen varmistamiseksi, että kaikki tieto- ja viestintätekniikan tietoturvavaatimukset on täytetty, ennen kuin jokin muutos hyväksytään tai toteutetaan.
• Muutosta pyytävä ja toteuttava ryhmä on riippumaton muutosta tarkastavasta ja hyväksyvästä ryhmästä eturistiriitojen välttämiseksi ja objektiivisuuden varmistamiseksi.

On varmistettava, että roolit ja vastuualueet on jaettu selkeästi ja että ne kattavat seuraavat seikat:

• Muutosten määrittely ja suunnittelu
• asianmukaisen siirtymävaiheen suunnittelu, jolla varmistetaan toiminnan jatkuvuus
• muutoksen valvottu testaus ja viimeistely
• tehokas laadunvarmistus koko muutoksen elinkaaren ajan

Dokumentoi ja ilmoita seuraavat tiedot jokaisesta muutoksesta:

• Muutoksen tarkoitus ja laajuus
• täytäntöönpanon aikataulu
• Muutoksen odotetut tulokset
• Varamenettelyt ja vastuut, mukaan lukien menettelyt muutoksen keskeyttämiseksi ja suunnitelmat epäonnistuneiden tai osittaisten toteutusten korjaamiseksi

Sisällytä erityiset menettelyt kiireellisten tilanteiden käsittelyä varten:

• Määrittele kiireelliset muutosmenettelyt, jotka tarjoavat riittävät suojatoimet huolimatta niiden nopeutetusta luonteesta

On varmistettava, että kaikki kiireelliset muutokset (mukaan lukien kiertotiet ja korjaukset) dokumentoidaan, arvioidaan uudelleen ja arvioidaan käyttöönoton jälkeen sekä hyväksytään virallisesti käyttöönoton jälkeen.

Menettelyyn on sisällytettävä myös turvallisuusvaikutusten arviointi jokaisesta ehdotetusta muutoksesta, jotta voidaan määrittää sen mahdollinen vaikutus olemassa oleviin tieto- ja viestintätekniikan turvallisuustoimenpiteisiin.

Organisaation on sisällytettävä turvallisuusnäkökohdat kiireellisiin muutosprosesseihinsa, myös kiireellisissä tai hätätilanteissa. Henkilöstön osallistumista, testausta ja dokumentointia koskevat vähimmäisvaatimukset olisi määriteltävä sekä ennen käyttöönottoa että sen jälkeen. Näin varmistetaan selkeä dokumentointi vähimmäistoimista, jotka on toteutettava kiireellisissä tapauksissa.

Riittämätön muutosten hallinta on yleinen syy tietojenkäsittelypalvelujen toiminta- ja turvallisuushäiriöille.

Organisaation on dokumentoitava muutostenhallintaprosessi, jota on noudatettava aina tehtäessä merkittäviä tietoturvallisuuten vaikuttavia muutoksia itse kehitettyihin digipalveluihin tai muihin tietojenkäsittelypalveluihin. Prosessi sisältää vaatimukset mm. seuraaville asioille:

• muutoksen määrittely ja dokumentointi
• riskien arviointi ja tarvittavien hallintakeinojen määrittely
• muutoksen muu vaikutusten arviointi
• testaus ja laadunvarmistus
• muutoksen julkaisun hallittu toteutus
• muutoslokin päivittäminen

Järjestelmällisessä turvallisuustyössä merkittävien muutosten vaikutukset on arvioitava ennakkoon ja muutokset toteutettava systemaattisesti. Tahattomien muutosten seuraukset on arvioitava ja pyrittävä lieventämään mahdollisia haittavaikutuksia.

Merkittäviä muutoksia voivat olla mm. organisaatioon, toimintaympäristöön, liiketoimintaprosesseihin sekä tietojärjestelmiin kohdistuvat muutokset. Muutoksia voidaan tunnistaa mm. johdon katselmuksissa sekä muuten toiminnan ohessa.