NIST Special Publication 800-53 Revision 5.2.0 Rev 5.2.0

组织系统的配置变更控制涉及系统性地提出、论证、实施、测试、审查和处理系统变更，包括系统升级和修改。配置变更控制包括对基线配置、系统配置项、操作程序、系统组件的配置设置、修复漏洞以及非计划或未经授权的变更的管理。管理系统配置变更的流程包括配置控制委员会或变更咨询委员会，这些委员会负责审核并批准所提议的变更。对于影响隐私风险的变更，隐私高级机构官员会更新隐私影响评估和记录系统通知。对于新系统或重大升级，组织会考虑在配置控制委员会或变更咨询委员会中包括来自开发组织的代表。变更审计包括在系统变更前后进行的活动以及实施这些变更所需的审计活动。另见 SA-10。