10 Phát triển và duy trì hệ thống
10.4.1 Kiểm soát phần mềm thao tác
Nên có kiểm sốt đối với việc tiến hành phần mềm trên các hệ thống hoạt động. Để giảm thiểu rủi ro của việc làm sai lạc các hệ thống hoạt động, các kiểm soát sau nên được xem xét:
a) cập nhật các thư viện chương trình hoạt động chỉ nên được tiến hành bởi người quản lý thư viện được bổ nhiệm theo quyền quản lý thích hợp (xem 10.4.3);
b) nếu có thể, các hệ thống hoạt động chỉ nên giữ mã có thể thể hiện được;
c) mã có thể thể hiện được không nên tiến hành trên một hệ thống hoạt động cho đến khi có được bằng chứng về việc kiểm tra và chấp nhận người sử dụng thành cơng và các thư viện nguồn chương trình tương ứng được cập nhật;
d) một dấu vết kiểm tra nên được duy trì về tồn bộ các cập nhật đối với các thư viện chương trình hoạt động
e) các phiên bản phần mềm trước nên được giữ lại để đề phòng bất trắc.
Các phần mềm do đại lý cung ứng được sử dụng trong các hệ thống hoạt động nên được duy trì ở mức được hỗ trợ bởi nhà cung ứng. Mọi quyết định nâng cấp tới mới bản mới nên tính đến an tồn của bản đó, tức là hướng dẫn về tính thiết thực an ninh mới hoặc số lượng và tính ác liệt của vấn đề an ninh ảnh hưởng tới phiên bản này. Các sửa đổi phần mềm nên được áp dụng khi chúng cần giúp để gỡ bỏ hoặc giảm những điểm yếu an ninh.
Các nhà cung ứng chỉ nên được truy cập vật lý hoặc logic để hỗ trợ các mục đích khi cần và với sự chấp thuận của ban quản lý. Các hoạt động của nhà cung ứng nên được giám sát.