Målet med prinsippet: Opprettholde virksomhetens etablerte sikkerhetstilstand ved planlagte endringer.

Hvorfor er dette viktig?

Over tid vil en virksomhet gjennomføre endringer som følge av endrede forretningsprosesser, oppgradering og utskifting av IKT-utstyr og organisatorisk vekst eller tilpasninger. Mange virksomheter vil i tillegg oppleve endringer i IT-driftsmodell ved at sentrale IKT-tjenester blir tjenesteutsatt eller tatt hjem, større organisatoriske endringer som oppkjøp og sammenslåing av virksomheter eller opprydning og fornying etter et dataangrep.

Alle endringer som gjøres kan påvirke virksomhetens etablerte sikkerhetstilstand. Det er avgjørende for en virksomhet at disse endringene håndteres på en god måte. Man må forstå konsekvensen av endringene, justere og konfigurere IKT-systemene for å tilpasse seg endringene og gjennomføre tilstrekkelig med testing for å verifisere at ønsket sikkerhetstilstand opprettholdes.

Anbefalte tiltak: Integrer sikkerhet i prosess for endringshåndtering
Anbefalte tiltak: Integrer sikkerhet i prosess for endringshåndtering
IDBeskrivelse
2.10.1 Integrer sikkerhet i virksomhetens prosess for endringshåndtering. Prosess for endringshåndtering bør inkludere: a) Vurdering av endringsforslag for å identifisere påvirkning på etablerte sikkerhetstiltak, f.eks. tiltakene som er beskrevet i alle tabellene i grunnprinsipper for IKT-sikkerhet. b) Krav til testing av endringer før og etter idriftsetting, se prinsipp 2.1 - Ivareta sikkerhet i anskaffelses- og utviklingsprosesser. c) Informasjon til og nødvendig involvering av interesseparter som blir påvirket av endringen. d) Dokumentering av vurderinger, anbefalinger, avgjørelser og gjennomganger/tester med relevans for sikkerhetstilstanden.
2.10.2Involver nødvendig IKT-sikkerhetspersonell i forbindelse med endringer. Det kan være i forbindelse med overordnede eller tekniske vurderinger og gjennomganger, testing, godkjenning/signering eller varsling.
2.10.3Gjennomfør nødvendig endring, konfigurering og testing av påvirkede sikkerhetsfunksjoner før og etter idriftsetting for å opprettholde etablert sikkerhetstilstand.
2.10.4Integrer sikkerhet i virksomhetens prosess for hasteendringer. Fastsett minimumskrav til involvering av personell, sikkerhetsvurderinger, testing og dokumentasjon både før og etter idriftsetting, se 2.10.1 - 2.10.3.
Utdypende informasjon

Det finnes mange eksempler på endringer i IKT-systemer som har etterlatt seg store sikkerhetshull og som har blitt utnyttet av personer med onde hensikter. Dersom en virksomhet åpent annonserer at de gjennomfører større endringer (for eksempel pressemelding om fusjoner eller offentliggjøring av større IKT-anskaffelser) kan det i seg selv føre til at de blir et mer attraktivt mål for hackerangrep.

Ved planer om større endringer i IKT-systemene er det viktig å tidlig vurdere de sikkerhetsmessige konsekvensene. Erfaringsmessig kan det bli dyrere, mer komplisert og mindre effektiv sikkerhet hvis sikkerhet tas inn i prosjektet etter at for eksempel IKT-arkitekturen er vedtatt.

En virksomhet bør ha en formell endringsprosess der vurdering av sikkerhetsmessige konsekvenser er en integrert del. Dette gjelder også for endringer som må gjøres hurtig, kalt hasteendringer. Dette er endringer som er så viktige å gjennomføre at de av tidsmessige hensyn ikke kan kjøres normal endringsprosess.

Lenker

ITIL 4: The framework for the management of IT-enabled services

ISO 10007 – Quality management — Guidelines for configuration management