11. Tiếp nhận, phát triển và duy trì các hệ thống thông tin
11.5.3. Hạn chế thay đổi các gói phần mềm
Biện pháp quản lý
Việc sửa đổi các gói phần mềm là không được khuyến khích, cần hạn chế và chỉ thực hiện đối với các thay đổi rất cần thiết. Trong trường hợp này, mọi thay đổi cần phải được quản lý chặt chẽ.
Hướng dẫn triển khai
Miễn là có thể và khả thi, các gói phần mềm được nhà cung cấp hỗ trợ phải được sử dụng mà không bị sửa đổi. Nếu một gói phần mềm cần được sửa đổi thì phải quan tâm tới các vấn đề sau đây: a) rủi ro của các biện pháp quản lý được cài đặt sẵn và toàn bộ các quy trình đang bị ảnh hưởng; b) liệu có nhận được sự cho phép của nhà cung cấp không;
c) khả năng nhận được các thay đổi được yêu cầu từ nhà cung cấp dưới dạng các cập nhật chương trình chuẩn;
d) tác động nếu tổ chức phải có trách nhiệm trong việc bảo hành phần mềm trong tương lai do xảy ra các thay đổi.
Nếu những thay đổi là cần thiết thì phần mềm gốc cần được lưu lại và những thay đổi phải được thực hiện trên một bản sao đã được xác định rõ. Một quy trình quản lý cập nhật phần mềm cần được thực hiện nhằm đảm bảo các bản vá đã được chấp thuận cập nhật gần nhất và các bản cập nhật ứng dụng đã được cài đặt cho tất cả phần mềm đã được cấp phép (xem 11.6). Tất cả các thay đổi cần được kiểm tra đầy đủ và được lập thành tài liệu để chúng có thể được áp dụng lại nếu cần thiết cho các nâng cấp phần mềm trong tương lai. Nếu được yêu cầu, các thay đổi phải được kiểm tra và được xác nhận bởi một tổ chức đánh giá độc lập.