一、 條文8.1 變更管理及委外管理
(一) 變更管理
下圖是一個典型變更管理的流程：

變更管理的重要性不可言喻，幾次比較重大的資訊安全事件，肇因都是變更管理不善。與變更管理相關的事項如下：

1. 問題管理
   為了解決問題，通常需要進行更改以實施變通並解決已知的錯誤。問題管理可以提交變更來解決資訊安全上的錯誤。
2. 配置和資產管理
   當評估變更對IT基礎架構或資訊安全的影響時，變更管理依賴資產本身特性及整體關聯性的資訊，識別受更改影響的基礎資訊非常重要。在整個變更管理過程中，受影響的相關資訊也應該要更新。
3. 發布和部署管理
   管理變更事項並與發布和部署過程進行協調、測試和實施。
4. 業務持續性
   為了最大程度地減少和管理可能對業務造成負面影響的風險，相關評估及實作都應考量對業務過程的影響及時限，避免對業務造成無法恢復的損失。
5. 安全管理
   對發生的每個變更對其安全性的影響進行評估。
6. 知識管理
   變更涉及決策，決策必須要有完整的資訊及知識才能進行，所以整個資訊安全的知識管理可以支援決策過程。應提供必要的資訊，使變更能展現其必要性及完整性。
7. 組合管理
   變更所涉及的問題比較廣，各項組合的問題都應該被考慮，單一變更帶來的影響可能是眾多系統或元件，不僅僅涉及單一系統，例如：作業系統的變更會影響硬體及應用系統。
   因為資訊環境變化快速，軟硬體更新頻繁，各項要求也隨著變化接踵而來，所以變更是資訊安全管理不可或缺的一部分，不管是硬體更新、作業系統更新、網路架構變化、管理方式改變，都應該依循一定的規範，不可隨意而行，應該事先做好變更的分類，設計流程、定義關鍵角色與職責、定義指標、了解本身風險承受能力，執行完整的評估後再執行相關變更作業。