22. člen
(upravljanje sprememb)
(1)
Pred uvedbo spremembe informacijskega sistema se o njej obvesti vse subjekte, na katere bo sprememba predvidoma vplivala.
(2)
Informacijska varnost je sestavni del upravljanja sprememb.
(3)
Spremembe v informacijskem sistemu, ki vplivajo na funkcionalnost ali varnost, se izvedejo le na podlagi pisnega soglasja skrbnika informacijskega sistema in vodje informacijske varnosti. Spremembe se dokumentirajo.
(4)
V procesu upravljanja sprememb se ocenijo varnostni vplivi spremembe in preverita varnostna ustreznost spremenjenega informacijskega sistema in ustreznost varnostnih nadzorstev.
(5)
O pogojih za izvedbo sprememb v obratovalnem okolju se dogovorita skrbnik informacijskega sistema in upravljavec informacijskega sistema. Spremembe, ki zahtevajo prekinitev delovanja informacijskega sistema, je treba načrtovati in vnaprej napovedati.
(6)
Ob izvajanju sprememb informacijskega sistema je treba zagotoviti, da se raven zaupnosti, celovitosti in razpoložljivosti informacijskega sistema ne zniža.
(7)
Pred vsako spremembo informacijskega sistema se izdela načrt povrnitve v prejšnje stanje.