本番環境と開発環境、検証環境は本来は分けたほうがBetterですね。

ただ、すべてにこの環境を用意することは無理でしょうから、必要なところには必ず
ISMSでは、テスト環境については用意したほうがよいって、感じですねぇ。

開発者等が承認を得ずに勝手に本番環境のプログラムを変更してしまうのが問題なわけです。
防止的コントロールとして、開発環境と運用環境を分離し、アクセス管理などをして、事前に不正なプログラム変更等を防止することができないのであれば、
発見的コントロールとして、すべての変更されたプログラムの一覧をサンプルベースとし、サンプリングにより選ばれた変更が承認を得ていることを確認するという方法で統制目標を達成できることになります。
　問題は、「すべての変更されたプログラムの一覧」を以下に作るかですが、現実的には自動化されたコントロールにより行うしかないでしょうね。