Revisionens ønsker
Revisionen har derfor ønsket en mere ensrettet proces for, hvordan ændringer godkendes og implementeres. Ændringer kan f.eks. være en større systemopgradering, tilføjelse af ny funktionalitet eller procedurer i et system, indføring af et nyt design, konfiguration af eksisterende funktionalitet og lignende. Revisionens bemærkning lød:
|
Observation |
Vi har fået oplyst, at ændringsønsker om ny funktionalitet og tilretninger til forretningskritiske applikationer, herunder også fejlretninger og tilsvarende, samles, vurderes og godkendes af de ansvarlige for systemets understøttelse af forretningen. Der forefindes dog ingen formel defineret change management proces, men der er udarbejdet arbejdsdokument vdr. systemforvaltning, der inkorporerer den generelle udviklingsproces. |
|---|---|
| Kontrolmål |
Nye som tilrettede program- og systemændringer bliver administreret hensigtsmæssigt, prioriteret og vurderet, og gennemførelse af ændringer følger en af ledelsen valgt projektmodel. |
En arbejdsgruppe i systemforvaltningsteamet blev på baggrund heraf bedt om at komme med forslag til en ny procedure, som kunne bruges af alle systemområder. En del af de changes, som fremover dokumenteres via den nye proces, behandles også på CAB. Men hvor CAB-behandlingen fokuserer på, at der er styr på alle elementer ift. at implementere ændringerne, fokuserer den nye proces i systemforvaltning særligt på at sikre, at den rette dokumentation for godkendelse af ændringerne foreligger, f.eks. ved at systemejeren har sagt god for ændringerne.
Krav til dokumentationen
I tabellen nedenfor ses de elementer, som systemforvalterne fremover skal dokumentere i en change log.
| Påtænkt ændring | ”Identiteten” af den påtænkte ændring |
| Dato for påtænkt ændring | Hvornår skal ændringen træde i kraft |
| Accept | Hvem har godkendt ændringen, f.eks. systemejer, leder, styregruppe el. lign. |
| Dokumentation af accept | Dokumentation af godkendelsen af den påtænkte ændring, f.eks. mail, mødereferat, notat fra telefonsamtale, JIRA issue el. lign. |
| Dato for accept | Hvornår er ændringen godkendt? |
| Kommentarer | Bemærkninger eller særlige forhold omkring den påtænkte ændring |
| CAB | Har idriftsættelsen af ændringen været behandlet i CAB? |
| Dato for CAB | Dato for behandling på CAB så dokumentation kan genfindes |
| Bilag/links | Mails, dokumenter, sagsnummer, links el. lign. |
Tidsplan for indførelse af den ny proces
Efter at ledelsen i AIU med mindre justeringer havde godkendt arbejdsgruppens oplæg, var forslaget desuden forbi informationssikkerhedschefen for at sikre, at de nye tiltag lå i tråd med de ønsker, revisionen havde. Implementeringen er nu i fuld gang, og der oprettes en change log for alle systemer. Change loggen oprettes i Confluence, hvor forvalterne i forvejen har samlet deres dokumentation. Ud over systemforvaltere i ITS er der en række systemer, som forvaltes udenfor ITS. Disse forvaltningsområder skal også anvende processen fremover, og der arbejdes derfor også på at orientere dem.
| 14/04/16 |
Forslag til procedure udarbejdet at arbejdsgruppe i systemforvaltning |
|
20/04/16 |
Forslag godkendt af AIU ledelsen |
|
25/04/16 |
Forslag godkendt af informationssikkerhedschefen |
|
03/05/16 |
Forvaltere for ØSS, Qlikview og RUS orienteret om den ny procedure |
|
Maj-juni |
Template for change log oprettet på alle systemsider i Confluence |
|
Maj-juni |
Systemforvaltere i AIU orienteret og bruger den nye proces |
|
Maj-juni |
Alle systemforvaltere udenfor ITS orienteret og bruger den nye proces |
|
Juni 2016 |
Change management proces implementeret for alle relevante systemer |