7.5  知識子域：軟件安全開發重要管理過程

7.5.1 變更管理

任何一個項目，從開始就處于不停地變化之中，用戶需求發生變化需要調整計劃或者設計。測試發現了問題需要對錯誤的代碼進行修正，也會引發變更。甚至人員流失了，也需要項目進行一定的調整以適應這種情況。Bug管理、需求管理、風險控制等本質上都是變更管理的一種方式，它們都是為了保證項目在變化過程中始終處于可控狀態，并隨時可跟蹤回溯到某個歷史狀態。所有的變更都必須遵循一個正式的變更管理過程：

提交變更申請

項目團隊中任何成員都可以提交變更申請，但需要完成以下工作：

變更申請人識別項目中任何方面的變更需求（如范圍、可交付成果、時限、組織）；

變更申請人完成變更申請表( CRF)，并將其呈交項目管理委員會(CCB)變更申請表中需要對變更的需求進行概括性描述，包括變更描述、變更原因（包括商業驅動）、變更利益、變更成本、變更帶來的影響、支持性文件。

審核變更申請

項目管理委員會( CCB)對變更申請進行審核，以決定是否需要一份充分的可行性研究報告以評估變更可能帶來的全部影響。

批準變更申請

本階段涉及項目委員會對變更申請的正式審核。CCB可能做出以下結論：拒絕變更請求、要求與變更相關的更多信息、批準變更申請、在特定條件下批準變更。

實施變更

本階段開始對變更進行實施，包括更新文檔、代碼等，并進行相應的測試，以確保變更被正確實施。

報告組織領導層

對變更進行詳細的記錄，并將結果報告給組織的領導層。