9 Kiểm soát truy cập
10.5.1Các thủ tục kiểm soát thay đổ
Để giảm thiểu sự sửa đổi các hệ thống thông tin, cần có sự kiểm soát chặt chẽ việc thực hiện những thay đổi. Các thủ tục kiểm soát tha đổi chính thức nên được tuân thủ. Chúng sẽ đảm bảo rằng việc bảo mật và các thủ tục kiểm soát không bị sửa đổi, rằng các lập trình viên hỗ trợ đươc trao quyền truy cập chỉ những phần này của hệ thống cần thiết cho công việc của họ, và rằng sự thoả thuận chính thức và sự phê chuẩn bất kì thay đổi nào đều được tiếp nhận. Việc thay đổi phần mềm ứng dụng có thể tác động đến môi trường hoạt động.
Tại bất kì nơi nào khả thi, ứng dụng và các thủ tục kiểm soát thay đổi vận hành nên được tích hợp (cũng xem 8.1.2). Quá trình này sẽ bao gồm:
a) duy trì bản ghi ở các mức độ xác minh được chấp nhận;
b) đảm bảo rằng các thay đổi được những người sử dụng đệ trình;
c) xem xét lại những kiểm soát và các thủ tục tính toàn vẹn để đảm bảo rằng chúng sẽ không bị làm sai lệch bởi những thay đổi;
d) xác định tất cả phần mềm máy tính, thông tin, các thực thể cơ sở dữ liệu và phần cứng mà đòi hỏi sự sửa đổi;
e) nhận sự phê chuẩn chính thức đối với các kế hoạch chi tiết trước khi công việc bắt đầu;
f) đảm bảo rằng người sử dụng hợp phép chấp nhận những thay đổi trước khi thực hiện;
g) đảm bảo rằng việc thực hiện được tiến hành để giảm thiểu sự đổ vỡ thương mại; h) đảm bảo rằng tập hợp tài liệu hệ thống được cập nhật khi hoàn thành mỗi thay đổi và rằng tài liệu cũ được lưu trữ hoặc bị huỷ bỏ;
i) duy trì việc kiểm soát phiên bản đối với tất cả những cập nhật phần mềm; j) duy trì việc theo dõi kiểm định đối với tất cả những yêu cầu thay đổi;
k) đảm bảo rằng tài liệu vận hành (xem 8.1.1) và các thủ tục người dùng được thay đổi khi cần là thích hợp;
l) đảm bảo rằng sự thực hiện những thay đổi xảy ra đúng lúc và không làm xáo trộn quá trình thương mại liên quan.
Nhiều tổ chức duy trì môi trường mà trong đó những người sử dụng kiểm tra phần mềm mới và nó được đặt tách biệt với những môi trường phát triển và sản xuất. Nó cung cấp những điều kiện để kiểm soát phần mềm mới và cho phép việc bảo vệ thông tin vận hành được dùng cho các mục đích kiểm tra.