11. Tiếp nhận, phát triển và duy trì các hệ thống thông tin 1 Yêu cầu đảm bảo an toàn cho các hệ thống thông tin
11.5.1. Các thủ tục quản lý thay đổ
Biện pháp quản lý
Việc thực thi các thay đổi phải được quản lý bằng việc áp dụng các thủ tục quản lý thay đổi chính thức.
Hướng dẫn triển khai
Các thủ tục quản lý thay đổi chính thức cần được lập thành văn bản và bắt buộc thi hành để giảm thiểu thiệt hại cho các hệ thống thông tin. Việc đề xuất các hệ thống mới và những thay đổi quan trọng cho hệ thống hiện tại cần tuân theo một quy trình chính thức về lập văn bản, đặc tả, kiểm tra, quản lý chất lượng và triển khai dưới sự quản lý.
Quy trình này cần bao gồm đánh giá rủi ro, phân tích những ảnh hưởng của các thay đổi, và đặc tả các biện pháp quản lý an toàn cần thiết. Quy trình này cũng phải đảm bảo rằng các thủ tục quản lý và an toàn hiện tại không bị ảnh hưởng, các lập trình viên hỗ trợ chỉ được phép truy cập đến các bộ phận hệ thống cần thiết cho công việc của họ, phải tuân theo và các thay đổi đều phải được chấp thuận và phê chuẩn chính thức.
Nếu khả thi thì các thủ tục quản lý thay đổi ứng dụng và điều hành cần được tích hợp (xem thêm 9.1.2). Các thủ tục thay đổi cần bao gồm:
a) duy trì hồ sơ về các mức cấp phép đã được chấp thuận;
b) đảm bảo các thay đổi đều được thực thi bởi những người dùng được phép;
c) soát xét các biện pháp quản lý và toàn bộ các thủ tục nhằm đảm bảo rằng chúng sẽ không bị ảnh hưởng bởi các thay đổi;
d) xác định tất cả phần mềm, thông tin, các cơ sở dữ liệu, và phần cứng có yêu cầu sửa đổi; e) có được sự phê chuẩn chính thức cho các đề xuất chi tiết trước khi triển khai;
f) đảm bảo rằng những người dùng hợp pháp chấp nhận các thay đổi trước khi triển khai; g) đảm bảo rằng bộ tài liệu hệ thống được cập nhật mỗi khi hoàn tất từng thay đổi và tài liệu cũ được lưu trữ hoặc bị loại bỏ;
h) duy trì việc quản lý phiên bản đối với tất cả các cập nhật phần mềm; i) duy trì truy vết của tất cả các yêu cầu thay đổi;
j) đảm bảo rằng văn bản vận hành (xem 9.1.1) và các thủ tục người đùng được thay đổi khi cần thiết để duy trì sự phù hợp;
k) đảm bảo rằng việc triển khai các thay đổi diễn ra đúng thời điểm và không làm ảnh hưởng đến các quá trình nghiệp vụ liên quan.
Thông tin khác
Việc thay đổi phần mềm có thể ảnh hưởng tới môi trường điều hành.
Kiểm nghiệm thực tiễn tốt sẽ bao hàm việc kiểm tra phần mềm mới trong một môi trường tách biệt với môi trường sản xuất và môi trường phát triển (xem thêm 9.1.4). Đó cũng là một cách để quản lý phần mềm mới và cho phép bảo vệ sâu thêm các thông tin điều hành được sử dụng cho các mục đích kiểm tra. Các đối tượng cần bảo vệ bao gồm các bản vá, các gói dịch vụ và bản cập nhật khác. Không được sử dụng các cập nhật tự động trên các hệ thống quan trọng vì một số cập nhật có thể gây lỗi trên các ứng dụng quan trọng (xem 11.6).