Kurumun bilişim sistemleri üzerinde gerçekleştirilecek değişikliklerin yönetilmesi için kullanılacak kuralların ve süreçlerin ve acil durumlarda bu süreçlerin nasıl işletileceğinin belirlenmemiş olduğu görülmüştür.

27002 sayılı “Bilgi teknolojisi - Güvenlik teknikleri” standardında konuyla ilgili tanımlanan kontrol şu şekildedir:

“12.1.2 Değişiklik Yönetimi

Bilgi güvenliğini etkileyen, kuruluş iş prosesleri, bilgi işleme tesisleri ve sistemlerdeki değişiklikler kontrol edilmelidir.”

Kurumun bilişim varlıklarını ve süreçlerini etkileyebilecek tüm değişikliklerin kontrollü bir şekilde gerçekleştirilmesi gereklidir. Değişikliklerin, bunlardan etkilenecek bileşen ve sistemler tanımlanmadan yürütülmesi, farklı sistemlerin aksamasına sebep olabilir. Söz konusu değişikliklerin, ilgili etkileşimleri izlemeye ve gerekli tedbirleri almaya imkân tanıyacak şekilde planlanarak yürütülmesi gerekmektedir. Örneğin, yazılım güncellemeleri gibi bazı değişikliklerin test edilmeden hayata geçirilmesi bilişim hizmetlerinde önemli aksamalara sebep olabilmektedir.

Bilişim sistemlerinin yapısı gereği, ne kadar planlama yapılırsa yapılsın, bazı değişikliklerin acil nitelik taşıması ve herhangi bir planlama ve bildirim sürecine imkân tanımayacak şekilde ivedilikle uygulanması söz konusu olabilmektedir. Acil durum değişikliklerinde, değişikliğe ilişkin sürecin gecikmesi kurumu yüksek maliyetler ile karşı karşıya getirebilir. İvedi müdahaleyi gerektiren bu tür durumlarda rutin değişikliklerin yönetimi için tasarlanmış süreçlerin işletilmesi mümkün olmayabilir. Ancak doğurduğu yüksek riskler sebebiyle acil durum değişikliklerinin sonradan takip edilmesi büyük önem taşır. Bu önemi sebebiyle acil durumlarda yapılan değişikliklere ilişkin ayrı bir süreç işletilmesi ve bu değişikliklerin geriye dönük olarak ilgilere bildirilmesi, etkilerinin izlenmesi ve gerekli tedbirlerin alınması sağlanmalıdır.

Kurum bilişim sistemlerinde yapılacak değişikliklerde bilgi işlem birimi içinde ilgililerle sözlü iletişim kurulduğu, bu şekilde değişikliklerin olası olumsuz etkilerinin en aza

indirilmesine çalışıldığı belirlenmiştir. Ancak bu uygulama, kişisel çabalar ile yürütülmekte olup, zorunlu ve izlenen bir kurumsal süreç niteliğinde değildir.

Bilişim sistemleriyle ilgili değişiklik talep ve önerilerinin yönetim süreçlerinin ve acil durum değişikliklerine ilişkin süreçlerin belirlenmesi, değişikliklerin hangilerinin onaya tabi olacağının, değerlendirmenin kimler tarafından yapılacağının, ret ve kabul kriterlerinin tanımlanması gerekmektedir.