GTAG-2 :變更及修補管理之控制

現今關於IT變更控制議題已異乎尋常地變得重要。具有能有效地挑戰IT管理階層的知識不僅是有益的，而且是必要的，因為每個『IT風險』產生若干程度之營運風險，故稽核長需完全瞭解變更管理議將變得非常重要。

變更及修補管理在此定義為組織IT部門行用來管理正式營運系統之強化、更新、遞增修正及修等的一套流程，其包含了：
 應用程式碼修改
 系統更新(應用程式、作業系統、資料庫)。
 基礎建設變更(伺服器、佈線、路由器、防火牆等)

本指引包括實地測試衡量資料，是用來協助您以量化方式評估變更管理流程之狀況，並建議管理衡量指標，藉以導引您的組織達到及維持較高水準的控制與績效。如此，內部稽核就能協助管理階層辨織組織的風險來源並評估風險管理、治理與控制流程的有效性。