Ein Change Request (Änderungsantrag) ist ein formaler Antrag zur Änderung eines IT-Systems, einer Konfiguration oder eines Prozesses. Er dokumentiert, was geändert werden soll, warum, welche Risiken bestehen und wie die Rückfallplanung aussieht.
ISO 27001 Annex A Control A.8.32 (Änderungsmanagement) verlangt, dass Änderungen kontrolliert, nachvollziehbar und risikobewertet durchgeführt werden. Der Change Request ist das zentrale Dokument dieses Prozesses. Er durchläuft typischerweise die Phasen: Einreichung, Risikobewertung, Genehmigung (ggf. durch das CAB), Implementierung, Test und Abschluss. Standard Changes (wiederkehrend, geringes Risiko) können vorab genehmigt werden; Normal Changes durchlaufen den vollen Prozess; Emergency Changes werden nachträglich bewertet.