是否可以通过简单的电子邮件来完成PCI遵从性的更改管理？

Question

PCI DSS第6.4.5项要求如下：

6.4.5实施安全补丁和软件修改的更改控制程序。程序必须包括以下内容: 6.4.5.1影响文件。6.4.5.2经授权方记录在案的变更核准。6.4.5.3对功能进行测试，以验证更改不会对系统的安全性产生不利影响。6.4.5.4退货程序。

我们可以使用完全兼容ITIL的软件来解决这个问题。但对于一家小公司(不到10名员工)来说，这似乎太过分了。我们希望以最简单的方式满足这一要求。

例如，假设所有这些项目都通过一封简单的电子邮件进行管理。当需要更改时，应将更改请求(RfC)发送到特定的电子邮件地址，并提供所有必要的信息(合理性、退件过程等)。担任更改管理人员的人将管理该电子邮件框，批准或拒绝所有传入的RfCs，并采取必要的操作，例如通知sysadmin或安排更改。

就PCI遵从性而言，这是否可以接受？

Answer 1

我们使用电子邮件进行变更管理一段时间，只要我们有记录，我们的审计师是满意的。然而，电子邮件是严重缺乏功能和不适合的任务。这是一个很难追踪的问题，把一串电子邮件保存下来，然后在审计时间提供这些邮件，简直是一场噩梦。

然而，它更容易与其他形式的软件设计，以跟踪票。您可以找到体面的，免费的CRM或服务台票证软件，可以用来跟踪更改票，就像一个完整的ITIL软件包一样容易，但功能较少。关键的组成部分是，您可以跟踪更改的内容、授权更改的人员以及所采取的步骤。这可以通过具有下列功能的票务软件来实现：

• 允许您记录基本事件/呼叫详细信息。
• 允许您将票分配给人或组。
• 允许您输入笔记
• 允许轻松报告，或者至少允许访问数据库，以便您可以编写自己的报表。
• 如果它允许您附加文件并以一种安全的方式这样做，则奖励。这允许您附加代码评审文档、威胁模型或与更改相关的其他工件。
• 如果它有允许审批过程的工作流模块(尽管可以手动定义和执行这些流程)，这将是额外的好处。

跟踪/日志越详细越具体，越好。

Answer 2

同意上述观点。

但是，只要你的电子邮件跟踪符合控制的目标，那么你就会被覆盖。毕竟，你正在努力确保你有一个可审计的控制

电子邮件可能不是最好的工作工具，但它确实足够了。

Answer 3

电子邮件做的工作，但票务解决方案将有助于从长远来看。

我一直担心电子邮件，特别是在小型组织中，删除内容太容易了。正如David所指出的那样，可以建立一个良好的票务系统，不允许删除票证，并对用户的行为和访问模式进行轻松的审核。

我的日常工作是非营利的，开发人员使用Jira进行bug跟踪。通过一些工作流简化，它对我们的变更控制(包括PCI需求)非常有效。如果你不熟悉你的选择，可以给我一个好的起点吗？