Organisaation on kehitettävä ja otettava käyttöön vankat muutoksenhallintamenettelyt osana tietojen saatavuuden, aitouden, eheyden ja luottamuksellisuuden säilyttämistä koskevia suojatoimia. Näitä menettelyjä on sovellettava kaikkiin ohjelmistoihin, laitteistoihin, laiteohjelmistokomponentteihin, tieto- ja viestintätekniikkajärjestelmiin ja tietoturvaparametreihin liittyviin muutoksiin. Menettelyjen on sisällettävä seuraavat kriittiset osatekijät:

• Virallisen tarkastusprosessin toteuttaminen sen varmistamiseksi, että kaikki tieto- ja viestintätekniikan tietoturvavaatimukset on täytetty, ennen kuin jokin muutos hyväksytään tai toteutetaan.
• Muutosta pyytävä ja toteuttava ryhmä on riippumaton muutosta tarkastavasta ja hyväksyvästä ryhmästä eturistiriitojen välttämiseksi ja objektiivisuuden varmistamiseksi.

On varmistettava, että roolit ja vastuualueet on jaettu selkeästi ja että ne kattavat seuraavat seikat:

• Muutosten määrittely ja suunnittelu
• asianmukaisen siirtymävaiheen suunnittelu, jolla varmistetaan toiminnan jatkuvuus
• muutoksen valvottu testaus ja viimeistely
• tehokas laadunvarmistus koko muutoksen elinkaaren ajan

Dokumentoi ja ilmoita seuraavat tiedot jokaisesta muutoksesta:

• Muutoksen tarkoitus ja laajuus
• täytäntöönpanon aikataulu
• Muutoksen odotetut tulokset
• Varamenettelyt ja vastuut, mukaan lukien menettelyt muutoksen keskeyttämiseksi ja suunnitelmat epäonnistuneiden tai osittaisten toteutusten korjaamiseksi

Sisällytä erityiset menettelyt kiireellisten tilanteiden käsittelyä varten:

• Määrittele kiireelliset muutosmenettelyt, jotka tarjoavat riittävät suojatoimet huolimatta niiden nopeutetusta luonteesta

On varmistettava, että kaikki kiireelliset muutokset (mukaan lukien kiertotiet ja korjaukset) dokumentoidaan, arvioidaan uudelleen ja arvioidaan käyttöönoton jälkeen sekä hyväksytään virallisesti käyttöönoton jälkeen.

Menettelyyn on sisällytettävä myös turvallisuusvaikutusten arviointi jokaisesta ehdotetusta muutoksesta, jotta voidaan määrittää sen mahdollinen vaikutus olemassa oleviin tieto- ja viestintätekniikan turvallisuustoimenpiteisiin.

Järjestelmällisessä turvallisuustyössä merkittävien muutosten vaikutukset on arvioitava ennakkoon ja muutokset toteutettava systemaattisesti. Tahattomien muutosten seuraukset on arvioitava ja pyrittävä lieventämään mahdollisia haittavaikutuksia.

Merkittäviä muutoksia voivat olla mm. organisaatioon, toimintaympäristöön, liiketoimintaprosesseihin sekä tietojärjestelmiin kohdistuvat muutokset. Muutoksia voidaan tunnistaa mm. johdon katselmuksissa sekä muuten toiminnan ohessa.