10 Phát triển và duy trì hệ thống
10.5.1 Kiểm soát sự thay đổi các thủ tục
Để tối thiểu sự sai lạc của các hệ thống thơng tin nên có kiểm sốt chặt chẽ đối với việc thực hiện các thay đổi. Các thủ tục kiểm sốt thay đổi chính thức nên được bắt buộc. Nên đảm bảo rằng các thủ tục an ninh và kiểm sốt khơng bị tổn hại, những người làm chươngtrình hỗ trợ chỉ được truy cập tới những phần của hệ thống cần cho cơng việc của họ và có được sự đồng ý và chấp thuận chính thức cho bất kỳ thay dổi nào. Thay đổi phần mềm ứng dụng có thể ảnh hưởng mơi trường hoạt động. ở mọi nơi có thể thử nghiệm, các thủ tục ứng dụng và kiểm soát thay đổi hoạt động nên được thống nhất (xem 8.1.2). Thủ tục này nên bao gồm:
a) duy trì một bản ghi các mức độ quyền hạn được thoả thuận; b) đảm bảo những thay đổi là do người sử dụng được cấp phép;
c) soát xét các kiểm soát và các thủ tục toàn vẹn để đảm bảo rằng chúng sẽ khơng bị tổn hại vì các thay đổi;
d) định danh tồn bộ phần mềm máy tính, thơng tin, các thực thể cơ sở dữ liệu và phần cứng yêu cầu sự sửa đổi;
e) đạt được sự chấp thuận chính thức cho các đề xuất chi tiết trước khi công việc bắt đầu;
f) đảm bảo rằng người sử dụng có phép chấp nhận những thay đổi trước khi có bất kỳ hoạt động nào; g) đảm bảo rằng việc thực hiện được tiến hành để giảm tối đa sự phá vỡ kinh doanh;
h) đảm bảo rằng bộ ghi chép hệ thống được cập nhật đầy đủ mỗi thay đổi và ghi chép cũ được lưu giữ hoặc sắp xếp;
i) duy trì một phiên bản kiểm sốt cho toàn bộ các cập nhật phần mềm; j) duy trì một dấu vết kiểm tra tồn bộ các yêu cầu thay đổi;
k) đảm bảo rằng việc ghi tài liệu hoạt động (xem 8.1.1) và các thủ tục cho người sử dụng được thay đổi nếu cần để thích hợp;
l) đảm bảo rằng việc thực hiện các thay đổi tiến hành đúng lúc và không làm rối loạn các thủ tục kinh doanh liên quan.
Nhiều tổ chức duy trì một mơi trường trong đó người sử dụng thử nghiệm các phần mềm mới và được tách biệt với các môi trường phát triển và sản phẩm. Điều này có nghĩa là có kiểm sốt đối với phần mềm mới và cho phép bảo vệ thêm thông tin hoạt động được sử dụng cho mục đích thử nghiệm.