2.10.1 Integrer sikkerhet i virksomhetens prosess for endringshåndtering

FOA-vurdering

Sikkerhet i endringshåndtering

Kilden sier at endringshåndtering bør brukes som et fast sikkerhetstiltak, ikke som en ren teknisk rutine. Nye forslag og endringer skal vurderes for å se om de påvirker etablerte sikkerhetstiltak. Den peker også på at endringer bør testes før og etter idriftsetting, og viser til prinsipp 2.1 om sikkerhet i anskaffelses- og utviklingsprosesser. I praksis betyr det at sikkerhet må vurderes når noe endres, tas i bruk eller innføres videre i virksomheten. Teksten fremhever videre behovet for å involvere berørte parter og for å dokumentere vurderinger, anbefalinger, beslutninger og tester som har betydning for sikkerhetstilstanden.

Betydning for anskaffelser

Brukes når anskaffelser, utvikling eller driftsendringer kan påvirke sikkerheten i IKT-løsningen. Relevansen ligger særlig i vurderinger av endringskontroll, testkrav, involvering av berørte aktører og dokumentasjon av sikkerhetsmessige beslutninger. Kilden støtter spørsmål om hva som må vurderes før idriftsetting og hvilke spor virksomheten bør etterlate ved endringer.

Sentrale kildepunkter

• Endringshåndtering bør omfatte vurdering av om endringsforslag påvirker etablerte sikkerhetstiltak.
• Det bør stilles krav til testing både før og etter idriftsetting.
• Berørte interesseparter skal informeres og involveres ved behov.
• Vurderinger, anbefalinger, avgjørelser og tester med betydning for sikkerhetstilstanden bør dokumenteres.
• Teksten viser til prinsipp 2.1 om sikkerhet i anskaffelses- og utviklingsprosesser.
• Sikkerhet skal integreres i selve prosessen for endring, ikke behandles separat etterpå.

Berørte bestemmelser

• NSM: GRUNNPRINSIPPER FOR IKT-SIKKERHET § 2.10.1 – Kilden fastsetter hvordan sikkerhet bør inngå i endringshåndtering.
• NSM: GRUNNPRINSIPPER FOR IKT-SIKKERHET § 2.1 – Kilden viser uttrykkelig til sikkerhet i anskaffelses- og utviklingsprosesser.