Deze maatregel borgt dat er altijd twee medewerkers betrokken zijn bij werkzaamheden aan systemen (configuratiewijzigingen, onderhoud, installatie van updates) die direct impact (kunnen) hebben op de beschikbaarheid, integriteit of vertrouwelijkheid van de keten. De maatregel vermindert het risico op onbeschikbaarheid van of kwetsbaarheden binnen de keten.

Niet-standaard wijzigingen op de IT-componenten die gebruikt worden, worden op basis van het vier-ogen-principe uitgevoerd.

Deze maatregel gaat niet om achterliggende systemen, maar om de aansluitende systemen en netwerkcomponenten (zoals firewalls).

A.12.1.2 Wijzigingsbeheer

• Stel vast dat een overzicht van standaard en niet-standaard wijzigingen is gedocumenteerd. Ga na of standaardwijzigingen geen midden/hoog risico hebben op de beschikbaarheid, integriteit of vertrouwelijkheid van de keten.

• Stel vast dat vier-ogen-principe is ingericht voor niet-standaard wijzigingen.

• Stel door middel van interviews met de betrokken medewerkers vast of de procedures worden nageleefd.

• Welke informatie / procedures (incl. versienummers) zijn ingezien.

• Met wie gesproken is ter bevestiging van toepassing van de maatregelen.

• Bewijslast m.b.t. de daadwerkelijke implementatie.