Målet med prinsippet: Opprettholde virksomhetens etablerte sikkerhetstilstand ved planlagte endringer.
Hvorfor er dette viktig?
Over tid vil en virksomhet gjennomføre endringer som følge av endrede forretningsprosesser, oppgradering og utskifting av IKT-utstyr og organisatorisk vekst eller tilpasninger. Mange virksomheter vil i tillegg oppleve endringer i IT-driftsmodell ved at sentrale IKT-tjenester blir tjenesteutsatt eller tatt hjem, større organisatoriske endringer som oppkjøp og sammenslåing av virksomheter eller opprydning og fornying etter et dataangrep.
Alle endringer som gjøres kan påvirke virksomhetens etablerte sikkerhetstilstand. Det er avgjørende for en virksomhet at disse endringene håndteres på en god måte. Man må forstå konsekvensen av endringene, justere og konfigurere IKT-systemene for å tilpasse seg endringene og gjennomføre tilstrekkelig med testing for å verifisere at ønsket sikkerhetstilstand opprettholdes.
Tilhørende tiltak
Utdypende informasjon
Det finnes mange eksempler på endringer i IKT-systemer som har etterlatt seg store sikkerhetshull og som har blitt utnyttet av personer med onde hensikter. Dersom en virksomhet åpent annonserer at de gjennomfører større endringer (for eksempel pressemelding om fusjoner eller offentliggjøring av større IKT-anskaffelser) kan det i seg selv føre til at de blir et mer attraktivt mål for hackerangrep.
Ved planer om større endringer i IKT-systemene er det viktig å tidlig vurdere de sikkerhetsmessige konsekvensene. Erfaringsmessig kan det bli dyrere, mer komplisert og mindre effektiv sikkerhet hvis sikkerhet tas inn i prosjektet etter at for eksempel IKT-arkitekturen er vedtatt.
En virksomhet bør ha en formell endringsprosess der vurdering av sikkerhetsmessige konsekvenser er en integrert del. Dette gjelder også for endringer som må gjøres hurtig, kalt hasteendringer. Dette er endringer som er så viktige å gjennomføre at de av tidsmessige hensyn ikke kan kjøres normal endringsprosess