ANEXO II Medidas de seguridad\4 Marco operacional [op]4 Marco operacional [op]\4.3 Explotación [op.exp]\4.3.5 Gestión de cambios [op.exp.5]

4.3.5 Gestión de cambios [op.exp.5]

dimensiones

todas

categoría

básica

media

alta

 

no aplica

aplica

=

 

Categoría MEDIA

Se mantendrá un control continuo de cambios realizados en el sistema, de forma que:

a)      Todos los cambios anunciados por el fabricante o proveedor serán analizados para determinar su conveniencia para ser incorporados, o no.

b)      Antes de poner en producción una nueva versión o una versión parcheada, se comprobará en un equipo que no esté en producción, que la nueva instalación funciona correctamente y no disminuye la eficacia de las funciones necesarias para el trabajo diario. El equipo de pruebas será equivalente al de producción en los aspectos que se comprueban.

c)      Los cambios se planificarán para reducir el impacto sobre la prestación de los servicios afectados.

d)      Mediante análisis de riesgos se determinará si los cambios son relevantes para la seguridad del sistema. Aquellos cambios que impliquen una situación de riesgo de nivel alto serán aprobados explícitamente de forma previa a su implantación.

.

principio