نحوه مدیریت تغییرات در ITIL

نحوه مدیریت تغییرات در ITIL

با توجه به اهمیت انجام تغییرات در سیستم‌ها و سرویس‌ها، مقاوت پرسنل در برابر انجام تغییر، پیچیدگی و حجم کار، گستردگی و نیاز به تفکیک وظایف افراد درگیر در تغییر، نیاز به یک سامانه یک‌پارچه جهت ثبت و گزارش‌گیری از تغییرات بیش از پیش احساس می‌شود.

مديريت تغييرات جهت به‌كارگيري سيستماتيك رويه‌ها و روش‌های استاندارد براي قبول، كنترل، نظارت بر نصب، اجرا و ارزيابي تمامي تغييرات مورد نیاز زيرساختارهاي واحد فناوری اطلاعات و پاسخگويي سريع و اثربخش به آن‌ها، به‌ گونه‌اي است كه كمترين تأثیر را بر كيفيت خدمات داشته باشند. اين مديريت مي‌تواند توازن بين تغييرات درخواستي و ظرفيت موجود را برقرار سازد. همچنين، فرآيند تغيير را به‌ گونه‌اي در دستور كار خود قرار دهد، ‌كه محدودكننده وقوع رخدادهاي نامطلوب مرتبط با اجراي تغییرات باشد.

هدف از مدیریت تغییرات
به‌طوركلي اهداف مديريت تغييرعبارتند از‎:
  شناسایی و ثبت تغییرات اساسی
  برنامه­‌ریزی و آزمون تغییرات
  تشخیص و ارزیابی اثرات بالقوه تغییرات مانند اثر امنیتی آن در سیستم
 داشتن موافقت‌نامه رسمی جهت تغییرات پیشنهادشده
 اعلام ریز تغییرات به افراد مربوطه
 رویه جایگزینی در مواقع اضطراری، شامل رویه‌ها و مسئولیت‌ها برای توقف بحران و اجرای عملیات بازنشانی که براثر تغییرات اشتباه در سیستم به‌وجود آمده است.

تعاریف و اصطلاحات
تغيير (Change): هر عنصر فناوری اطلاعات جديد و یا تحول‌یافته كه تعمداً به محيط فناوری اطلاعات معرفي شود و بتواند بر سطح خدمت فناوری اطلاعات يا عملكرد محيط و يا يكي از اجزاي آن اثر بگذارد، تغيير ناميده می‌شود. ‎
مدير تغيير (Change Manager): فردي است كه مسئول اداره فعاليت‌هاي فرايند مديريت تغيير در سازمان فناوری اطلاعات می‌باشد. ‎
مدیریت تغییرات: عبارت است از اجراي سیاست­‌ها و رویه‌هایی که به‌منظور آشکارسازي، تحلیل، ارزیابی و شناسایی تهدیدات امنیتی ناشی از اعمال تغییر در وضعیت دارایی‌­ها به اجرا گذاشته می‌­شوند.
فرم درخواست تغيير (RFC): فرمی است كه تمامي اطلاعات مربوط به تغيير در آن ارائه‌شده است.
بورد مشورتي تغيير (Change Advisory Board(CAB (اتاق مشاوره): گروهي هستند كه درخواست‌هاي تغيير را از نظر نيازهاي كسب‌وكار، اولويت‌بندي، سود، هزينه و نيز اثرات تغییر بر فرآيندها يا سيستم‌هاي ديگر را ارزيابي كرده و پیشنهاد‌هایی را براي اجراي تحليل‌هاي موردنیاز، تأخير قابل‌قبول در انجام و يا لغو درخواست تغيير مي‌دهند.( متشکل از تیم اجرایی و مدیریتی پروژه تغییر می‌­باشد.)

عناصر محدوده مدیریت تغییرات و نحوه ارتباطات آن‌ها
عناصر محدوده مدیریت تغییرات شامل موارد زیر است:
 نرم‌افزارها: سیستم‌عامل، ابزارهاي سیستم، نرم‌افزارهاي کاربردي، بانک‌هاي اطلاعاتی و ...
 سخت­‌افزارها: کامپیوتر، تجهیزات پشتیبان،UPS ، ژنراتورها و ...
 زیرساخت‌های شبکه: کابل­کشی، شبکه‌هاي بی‌سیم، تجهیزات سوییچینگ، مسیریابی و ...
 الگوهاي رمزنگاري: سیاست‌های کلمه عبور، مکانیزم­‌هاي کدگذاري و ...
 منابع انسانی: کارکنان، مدیریت، پیمانکاران، مشاوران و ...
 سامانه‌هاي مدیریتی: روش‌های اجراي فرآیندهاي سازمانی، زیر فرآیندها، توالی اجرا و ...
هرگونه تغییر در دارایی‌­هاي اطلاعاتی ممکن است موجب بروز وقایع ناخواسته شود. این وقایع ممکن است منجر به بروز حوادثی شود که موجب نقض امنیت یا تحمیل ضرر و زیان شود‎. پارامترهای فرم درخواست تغییر در بررسی موردی شامل موارد ذيل است:

 مشخصات درخواست‌كننده تغيير  آیتم مورد تغییر
 آیتم‌های درگیر در تغییر  شرح و چگونگی انجام تغییر
 کاربران تغییر  نقش‌ها و مسئولیت‌ها
 دلايل قانع‌کننده جهت انجام تغییر   تأثیر زمان‌بر شرایط تغییر
  تأثیر تغییر بر موقعیت سازمان  هزينه
 زمان  ضرورت
 اولویت  اثر
 ريسك‌ها  دلایل منطقی انجام/عدم انجام تغییر
 دسته‌بندی تغییر  


دلايل متفاوتي منجر به درخواست تغيير مي‌شوند كه مهم‌ترین آن‌ها عبارتند از:
  حل رخداد يا مشكل
 درخواست ارتقاي خدمات
 اجراي خدمات جديد
 حل مجدد رخداد يا مشكل
فرم RFC یا درخواست برای تغییر بايد به سؤال‌های: چه چيزي، چه كسي، كي، چرا، كجا و چگونه كه همگي با تغيير پیشنهادشده ارتباط دارند، پاسخ دهد. RFC بايد تغيير را شرح دهد و اينكه چه كسي چه كارهايي را بايد براي اجراي تغيير انجام دهد و نيز روش اجرا چگونه بايد باشد را مشخص سازد. همچنين، مي‌بايستي آيتم‌هاي پيكربندي درگير را معرفي كند. RFCها توسط آغازكننده تغيير، تهیه‌ شده و براي بررسي، رد يا قبول براي مدير تغيير ارسال مي‌شوند.
آغازكننده تغيير: شخصي است كه تغيير موردنیاز را از طريق فرم درخواست تغيير پيشنهاد مي‌دهد. اين شخص مي‌تواند نماينده مدیریت، پیمانکار يا يكي از کارکنان فناوری اطلاعات باشد.
اجازه تغيير: تغيير، از دو ناحيه مجوز اجرا مي‌گيرد:
 مدیر فناوری اطلاعات یا مدیر تغییر         
 برد مشورتي تغيير
مدير تغيير: فردي است كه مسئول اداره فعاليت‌هاي فرآيند مديريت تغيير در سازمان فناوری اطلاعات بوده و مسئوليت‌هاي كلي مدیر تغییر در مطالعه موردی عبارتند از:
 دريافت، ثبت و تخصيص اولويت به‌ تمامی RFCها و برگرداندن RFC هاي غيرمنطقي
 تشكيل برد مشورتی تغییرات (CAB)  براي درخواست‌هاي تغيير با توجه به موضوع آن‌ها و هدايت جلسات
 صدور مجوز انجام تغييرات قابل‌قبول
 هماهنگي بين قسمت‌های ساخت، آزمون و اجراي تغيير
 بروز رساني اطلاعات تغيير
 بازبيني تغييرات اجراشده
 تحليل تغييرات ثبت‌شده براي شناسايي مشكلاتي كه ممكن است رخ دهد
 خاتمه RFC
 تهيه گزارش‌هاي مديريتي و ثبت شرح کامل تغییرات جهت بایگانی
معمولاً باید تغييرات مهم براي تصميم‌گيري توسط مدير تغيير به CAB معرفي ‌شوند. اين كميته متشكل از تعدادي اعضاي ثابت است كه هميشه در جلسات حضور دارند و تعدادي افراد كه بر اساس نوع و مفاد هر تغيير تعيين شوند مثلاً، تغيير در زیر ساختار شبكه، تغییر در زیرساخت‌های توسعه نرم‌افزار و تغيير تسهيلات ارتقاء يا ثابت نگه‌داشتن سيستم‌هاي عملياتي مانند دیوار آتش و ظرف عسل (Honey pot) که هر یک نیازمند حضور متخصص درزمینه‌ی خاص خود می­‌باشد. البته تعداد اعضاي اين بورد بايد محدود باشد تا كميته آسان‌تر اداره شود و كاراتر عمل كند. اداره اين بورد بر عهده مدير تغيير است.
كميته فوريت‌ها و تغییرات اورژانسی (CAB / EC): اين كميته زيرمجموعه‌اي از كميته CAB است كه تنها با تغييرات غيرمنتظره و اولويت بسيار بالاسر و كار دارد و تشكيل آن مبني بر قدرت تصميم‌گيري آن درباره انجام و يا عدم انجام اين دسته از تغييرات است.
مسئول تغيير: فردي است كه اجراي تغيير را در محيط فناوری اطلاعات بر عهده دارد. اين نقش توسط مدير تغيير براي تغيير خاص به فرد موردنظر سپرده می‌شود. مسئول تغيير بايد مطابق برنامه زمان‌بندی تغيير موردتوافق كميته CAB عمل كند. مسئول تغییر معمولاً شخص درخواست‌کننده تغییر می‌باشد.
ثبت: فرآيند مديريت تغيير، با پيشنهاد تغيير و دريافت RFC از آغازكنندگان تغيير شروع می‌شود. درخواست‌هاي تغيير مي‌توانند از بخش‌هاي مختلف سازمان و فرآيندهاي درگير براي مديريت تغيير ارسال شوند و خواستار تغييراتي زيرساختاري مانند سخت‌افزاري، نرم‌افزاري، اجراي سيستم و هر مورد ديگري باشند كه به محيط فناوری اطلاعات اختصاص داشته و بر نحوه انجام كار اثر مي‌گذارند. مديرتغيير، پس از دريافت RFCها و پالايش هريك، آن‌ها را دسته‌بندی و پالایش مي‌كند. عمل پالايش در اين مرحله، از اهميت بالايي برخوردار است زيرا در اغلب موارد، درخواست‌ها مربوط به برطرف كردن يك مشكل در سيستم بوده و لزوماً تغيير نيستند‎. البته برطرف كردن برخي مشكلات نياز به تغييراتي در سيستم دارد. ازاین‌رو فرايند مديريت مشكلات، مي‌تواند يكي از ورودي‌هاي فرآيند مديريت تغيير تلقي شود.
پذيرش: مديريت تغيير بعد از ثبت RFC، برآوردي مقدماتي از درخواست‌هاي ثبت‌شده انجام مي‌دهد و منطق و ضرورت درخواست‌ها را كنترل مي‌كند. اگر درخواستي غيرمنطقي بود، برگشت داده‌شده و دليل آن نيز اعلام می‌شود. در صورت پذيرفته شدن درخواست، اطلاعات لازم در ارتباط با آن تكميل می‌شود.

اولویت‌بندي تغییر
پس از پذيرش درخواست‌هاي تغيير، اولويت‌بندي و طبقه‌بندي آن‌ها براي انجام عمليات بعدي صورت مي‌گيرد. اولويت يك تغيير، اهميت درخواستي را براي اجرا در 4 حالت ذيل مشخص مي‌كند:
 اولويت پايين: يك تغيير مطلوب است اما مي‌تواند تا یک‌زمان مناسب صبر كند.
 اولويت نرمال: تغيير كه فوريتي در انجام آن نيست، اما نبايد به تعويق بيفتد. اين اولويت در جلسه كميته CAB تعيين می‌شود.
 اولويت بالا: تغييري كه مربوط به برطرف كردن خطايي است كه تعدادي از كاربران با آن مواجه شده و يا با موضوعات مهم ديگر ارتباط دارد، این تغییر باید با اولویت بالا انجام گیرد.
 اولويت بسيار بالا: اين تغييرات از فوريت بالاتری برخوردارند و تعويق در اجراي آن‌ها سازمان را با ريسك زياد مواجه مي‌سازد. براي تخصيص منابع به اين تغييرات يك جلسه فوق‌العاده كميته CAB/EC موردنیاز است كه قدرت تصميم‌سازي داشته باشد.
سطوح اولويت‌بندي، به‌اندازه و ساختار تغییر وابسته‌ است و تحت SLA هايي كه بين واحد فناوری اطلاعات و کسب‌وکاری كه درخواست خدمت را داشته، مشخص مي‌شوند.

دسته‌بندي تغيير
بر اساس حجم تغییرات، ميزان اثر تغيير بر زيرساخت، كاربران، محيط فناوری اطلاعات و كسب‌وكار تغییرات دسته‌بندی می‌شود.‎ مثلاً اين‌كه آيا اين تغيير بر يك كاربر يا يك واحد و يا تمامي كاربران تأثيرگذار است؟ ازاین‌رو در با توجه به وضع موجود در مطالعه موردی، تغییرات در 3 گروه دسته‌بندي می‌شود:
 بزرگ: تغييري كه گروه بزرگي را تحت تأثیر قرار مي‌دهد، مانند گستردگي تغيير در سطح يك واحد، شركت، خدمت و يا شبكه
 متوسط: تغييري كه محدوده اثر آن گسترده است، مانند تغيير مؤثر بر يك گروه در واحد
 كوچك: تغييري كه بر تعداد كمي از افراد اثر مي‌گذارد، مانند تغییر چاپگر در يك واحد

گروه‌های تغيير
تغييرات به سه گروه تغييرات استاندارد، طبيعي و اضطراري تقسيم مي‏گردد.
 تغييرات استاندارد: در مديريت تغيير، تغييرات مشخصی که از قبل مجوزدهي شده، بخشي از عمليات کسب‌وکار است و روال‏‌هاي پذیرفته‌شده‌ای براي این‌گونه تغييرات تعريف می‌شود. اين نوع تغييرات، تغيير استاندارد هستند که در خدمات و يا زيرساخت اتفاق مي‌‏افتند. این نوع تغییر معمولاً برای بار اول ثبت شده و در دفعات بعدی الزامی جهت تهیه درخواست جدید برای آن نمی‌باشد. به‌عنوان‌مثال، ارتقاي يک PC براي استفاده از يک نرم‌افزار استاندارد، که از قبل بودجه­‌بندي شده است يا جابه‌‏جايي ميز کار براي يک کاربر يک تغيير است. وقتي رويکرد مديريت تغييرهاي استاندارد موردتوافق قرار گرفت، بايد فرآيندهاي تغيير استاندارد و جريان‏هاي کاري تغييرات وابسته، ايجاد و باهم مرتبط شوند. براي افزايش کارايي، تغييرات استاندارد بايد از همان ابتدا در هنگام ايجاد فرآيند مديريت تغيير شناسايي شوند. در غير اين صورت، اين نوع پياده‏‌سازي مديريت تغيير، لايه‏‌هاي اجرايي زائد و مقاوم در فرآيند مديريت تغيير ايجاد خواهد کرد. اين تغييرات با تکميل درخواست تغيير به جريان افتاده و توسط مدیر تغییر، مستقیماً ثبت و براي اقدام ارسال مي‏‌شوند.
 تغييرات طبيعي: اين گروه از تغييرات دامنه وسيع‌‏تري را پوشش داده، ازآن‌جا که احتمالاً دستورالعمل از پيش تعیین‌شده‌ای براي استقرار آن‌ها وجود ندارد، لذا با برنامه‌‏ريزي و استفاده از روال‏‌هاي خاص از پيش تعیین‌شده بايد نسبت به تصويب و استقرار آن‌ها اقدام نمود.
 تغييرات اضطراري: تغييرات اضطراري، تغييراتي هستند که به‌منظور رفع خطاي رخ‌داده در يک خدمت فناوري اطلاعات با تأثيرات منفي بر کسب‌وکار مورداستفاده قرار مي‏گيرند. تغييرات اضطراري به‌منظور معرفي بهبودهاي مورد نیاز کسب‏ وکار، به‌عنوان تغييرات طبيعي مدیریت‌شده و با داشتن بالاترين ضرورت ارزيابي می‌شوند. تعداد تغييرات اضطراري پیشنهاد شده، بايد در حداقل ممکن حفظ شود. زيرا معمولاً اين تغييرات، مستعد شکست هستند. تمامي تغييرات مورد نیاز بايد پيش‏‌بيني و برنامه‌‏ريزي شوند و منابع مورد نیاز براي ايجاد و آزمون اين تغييرات در نظر گرفته شود.

برنامه‌ريزي و انجام تغییرات
مدير تغيير در صورت نیاز و بر اساس تقويم زمانی انجام تغيير، تغييرات را برنامه‌ريزي مي‌كند. زمان‌بندی پيشروي تغيير شامل جزئيات مربوط به تغييرات تصویب‌شده و برنامه‌­ريزي آن‌هاست. اعضاي كميته CAB با در نظر گرفتن مواردي مانند دسترسي کارکنان، منابع، هزينه‌­ها، منافع، جنبه­ هاي خدمات تحت تأثیر و ريسك تغييرات، به بررسي و برنامه‌ريزي تغييرات مي‌پردازند. در راستاي برنامه‌ريزي مؤثر، مديريت تغيير بايد با افراد ذی­نفع و مجري تغييرات، تماس مداوم داشته و به فیلدها و پارامترهای تکمیل‌شده در برنامه‌ريزي تغييرات، رسيدگي كند.
ساخت تغيير: همه تغييرات، شامل مرحله ساخت به معناي واقعي نمي‌شوند زيرا تعدادي از آن‌ها در گروه تغييرات استاندارد قرار دارند، مانند جابجا كردن PC كه مي‌توان در اسرع وقت برنامه‌ريزي و اجرا شود. ساختن، ممكن است شامل نسخه جديدي از يك نرم‌افزار با مستندات جديد، كتاب راهنما، رويه نصب، برنامه پشتيبان و تغييرات سخت‌افزار باشد که میتواند در زیر گروه تغییرات استاندارد در سیستم مدیریت دانش ثبت گردد.
پس از تصويب و برنامه‌ريزي تغيير، مسئول تغيير، آن‌را براي ساخت به متخصصين مربوطه ارسال كرده و كنترل و هماهنگي‌هاي لازم را اعمال مي‌كند تا منابع مناسب براي انجام درست كار در اختيار قرار گيرد.
آزمون: بعد از مرحله ساخت، تغییر توسط سازنده مورد آزمون اوليه قرار مي‌گيرد زيرا تغييرات نمي‌توانند بدون انجام آزمون‌های لازم، اجرايي شوند. در صورت صلاح­دید مدیر تغییر، آزمون ثانویه می‌تواند در 3 مرحله انجام پذیرد. در مرحله اول آزمون پذيرش كاربر، توسط كاربر نهايي و مرحله دوم، آزمون پذيرش عملياتي توسط افرادي كه پشتيباني و نگهداري سيستم را بر عهده دارند، صورت مي‌گيرد. مرحله سوم توسط پیمانکار یا شخص ثالث که خارج از سازمان بوده و سیستم را آزمون می‌کند.
اجرای تغییر: تغييري كه از آزمون پذيرش، مثبت بيرون آيد، تحت كنترل مديريت تغيير و پشتيباني مديريت پيكربندي، براي نصب و اجرا به مجری ذی­صلاح سپرده می‌شود. اين مديريت پس از بررسي، به طراحي و اجراي رويه كارا براي توزيع و نصب تغييرات سيستم‌هاي فناوری اطلاعات مي‌پردازد.
ارزيابي: تغييراتي كه اجراشده‌اند، به‌استثنای تغييرات استاندارد، مي‌بايستي ارزيابي شوند. اين ارزيابي در موارد زير كنترل می‌شود:
 آيا تغيير در راستاي هدف درخواستي بوده است؟
 آيا كاربران از نتايج به‌دست‌آمده راضي‌اند؟
 هزينه‌هاي تخميني محقق شده‌اند يا فراتر از آن هستند؟
اگر تغيير موفقيت‌آميز بود، درخواست تغيير مي‌تواند بسته شود، در غير این صورت فرايند از جايي كه به بيراهه رفته است، يا با استفاده از روشي ديگر شروع می‌شود. در برخي مواقع، لازم است كه تغيير براي جلوگيري از اشتباهات بعدي متوقف شود و درخواست تغيير ديگري به جريان افتد.

الزامات تغییرات غیراستاندارد
لازم است تغییراتی که بنا به دلایل موجه یا به‌اجبار در وضعیت دارایی‌­ها اعم از نرم‌افزارها، سخت‌افزارها، زیرساخت‌های شبکه­‌اي، فرآیندهاي پردازشی، الگوهاي رمزنگاري، سامانه‌­هاي مدیریتی و منابع انسانی انجام می‌شود کنترل و با هماهنگی متصدي یا تحویل‌گیرنده دارایی اعمال شود.
باید قبل از اعمال تغییرات در وضعیت دارایی­‌هاي اطلاعاتی، تحلیل ریسک مربوط به تغییر شرایط یا وضعیت ناشی از اعمال تغییرات صورت پذیرد. فقط در صورتی‌که نتایج تحلیل ریسک مثبت باشد انجام تغییرات مجاز خواهد بود.

به‌طور خلاصه مراحل اجراي مدیریت تغییرات به شرح زیر است:
 در بررسی موضوعات ابتدا باید مشخص شود چه چیزي تغییر می‌کند و سپس به شناسایی تغییر اقدام نمود. درخواست‌ دهنده تغییر باید مطابق فرم درخواست تغییر(RFC) مشخصات لازم جهت انجام تغییر را ثبت نماید. همچنین دلایل توجیهی درخواست تغییر باید اعلام و ثبت شود. این دلایل شامل مواردي نظیر حجم کار، موانع و مشکلات، عوامل انسانی و... است. بعضی از تغییرات که تأثیری در کسب‌وکار شرکت ندارند، مانند پاک کردن یک برنامه در سیستم یک کاربر و همچنین مواردی که به‌صورت یک روال و فرآیند انجام می‌شوند مثلاً درصورتی‌که سیستم یک کاربر فریز شده و نیاز به ری­بوت دارد، نیاز به طی کردن روال مدیریت تغییرات ندارد، ولی مواردی همچون اضافه کردن یک پورت باز به سوییچ، نصب نرم‌افزار جدید بر روی سرور، استفاده از سخت‌افزار جدید در اتاق سرور و غیرو نیازمند طی کردن روال مدیریت تغییرات می‌­باشد. این تصمیمات توسط کمیته CAB بررسی و نهایی می‌شود.
 باید در نظر داشت درخواست تغییر از جانب چه بخشی و یا چه کسی مطرح‌شده و چه دلایلی براي تغییر اعلام‌شده است. لازم است قبلاً افرادي که داراي مسئولیت و حق اعلام نظر در خصوص پذیرش یا عدم پذیرش تغییرات می­‌باشند مشخص‌شده و کلیه تغییرات به تأیید ایشان برسد. دلایل تأیید یا رد درخواست تغییرات باید در قالب گزارشی رسمی ثبت و سوابق آن نگهداري شود. همچنین فاکتورهایی نظیر تأثیر زمان‌بر شرایط تغییر و تأثیر تغییر بر موقعیت سازمان باید در نظر گرفته شود. در صورت عدم‌تأیید تغییر خواسته‌شده باید اقدامات انجام‌شده تا این مرحله در سیستم ثبت شده و فرآیند خاتمه می­‌یابد.
 در صورت تأیید انجام تغییر توسط مراجع ذیصلاح باید اثر و ریسک حاصل از پیامدهاي احتمالی تغییر بررسی شود. سپس در صورت قابل‌پذیرش بودن، ریسک مجوز انجام تغییر، صادر می‌شود. در صورت غیرقابل‌پذیرش بودن ریسک باید اقدامات انجام‌شده تا این مرحله ثبت شده و فرآیند خاتمه می­‌یابد. سطحی که نیاز به کسب مجوز تغییر است، بستگی به نوع تغییر دارد، مثلاً تغییرات جزئی نیاز به مجوز مالک ریسک دارایی، و تغییر بر روی سرورها و سوییچ‌ها نیاز به تأییدیه پیمانکار مربوطه و مدیران ارشد فناوری اطلاعات دارد.
 در گام بعد باید به چگونگی انجام تغییرات پرداخت، این‌که تغییرات موردنظر به چه امکانات و تجهیزاتی نیاز دارد. بنابراین لازم است مراحل اجراي تغییرات برنامه­‌ریزي شود. ممکن است فرآیند تغییر بخش بزرگی از دارایی­‌های شرکت را در برگیرد و یا بر بخش بزرگی از دارایی‌­ها تأثیر گذارد. لازم است برنامه‌­ریزي مدون و مکتوب شده و به تایید افراد ذیربط بر اساس نظر مدیر تغییر و مسئول تغییر مربوطه برسد. درصورتی‌که نیاز به تغییر در نوع بهره‌برداری یا مشخصه‌های هر یک از دارایی‌­هاي شرکت باشد باید هماهنگی لازم با مالک آن دارایی انجام شود.
 سپس به تأمین نفرات و وظایف آن‌ها، امکانات و تجهیزاتی که براي انجام تغییر به آن‌ها نیاز می­‌باشد اقدام می‌شود.
 در مرحله بعدی تغییر موردنظر انجام خواهد شد.
 پس از انجام تغییر باید رفتار سیستم تا مدت معینی که در تحلیل ریسک تعیین می‌شود پایش و کنترل شود.
 در صورتی‌ که وضعیت پس از تغییر مطلوب ارزیابی‌شده و موردقبول باشد و کلیه الزامات تدوین‌شده برآورده شده باشد باید کلیه مراحل انجام‌شده ثبت شود و پس‌ازآن فرآیند خاتمه می­‌یابد. در غیر این صورت باید روال از ابتدا به اجرا درآید.
 به‌طورکلی نهاد متصدي تغییرات به‌عنوان واحد مسئول تغییرات با استناد به مقررات، مصوبات، الزامات قانونی و نیز تغییرات محیطی، اقدامات لازم را در مورد بازنگری در وضعیت دارایی­‌هاي اطلاعاتی درخواست می‌نماید. درخواست­‌هاي ارائه‌شده باید متناسب با حجم فعالیت‌ها و نیازهاي واقعی واحد مربوطه بوده و براي رفع مشکلات موقتی و ارتقاء شخصی نباشد.
لازم به دکر است این روال بطور کامل در نرم افزار مدیریت امنیت اطلاعات infopod سفارشی‌سازی شده و کلیه مراحل به طور سیستماتیک و با ارسال یادآور به اطلاع کلیه اشخاص درگیر در تغییر می‌رسد.

گردآورنده: محمدمظفر مهرعلی