システムの持つリスクのひとつに、変更作業による新たなインシデントの発生がある。既存システムになんらかの変更を行う場合、人為ミスによるインシデントの発生のみならず潜在的なエラーの表面化なども発生しうる可能性がある。 変更管理ではこれら変更作業にともなうリスクを管理するため、変更要求(RFC)の承認、変更方法や手順の確立、変更の実施、変更の記録などを行うプロセス。
また、変更による影響の確認・評価(アセスメント)、変更結果のレビューを行うことで、変更が原因で起こる新たなインシデントを最小限におさえ、変更によるリスクを回避する。
変更管理では既存ITサービスへの変更及び新規サービスの導入を効率的かつ安全に実施することを目的として以下の目標を掲げている。

• すべての変更作業に標準化した手法を適用する
• 効率的で迅速な変更処理の促進と評価を行う
• 変更作業のメリットとデメリットを明確化する

また、緊急を要する変更(緊急変更)に関しても、電話やメールなどで変更の承認ができる方法を検討しておき、速やかに対処できるようにしておく。 その場合でも、変更内容や変更結果について、速やかに通常の方法で報告・承認されなければならない。

【 変更諮問委員会 】(CAB:Change Advisary Board)
変更要求(RFC)の評価を行い、変更承認や実装の優先順位の決定を行う組織。

変更要求の種類

• 緊急変更
  これは早急に実施する必要がある変更。
  例えば，重大なインシデントの解決又は情報セキュリティパッチの実施を目的としたもの。
  
• 通常変更
  計画どおりのサービス変更で，標準変更でも緊急変更でもないもの。
  
• 標準変更
  リスクが低く，比較的よくあり，手順又は作業指示書に従う事前認可済の変更。