NIST Special Publication 800-53 Revision 5.2.0 Rev 5.2.0

对系统的硬件、软件或固件组件的更改，或与系统相关的操作程序的更改，都可能对系统的安全性或个人隐私产生重大影响。因此，组织仅允许经过资质认证和授权的人员访问系统，以进行变更操作。访问限制包括物理和逻辑访问控制（参见 AC-3 和 PE-3）、软件库、工作流程自动化、媒体库、抽象层（即更改通过外部接口实现而不是直接在系统中实施）以及更改窗口（即更改仅在指定时间进行）。