ISO38500 IT治理国际标准.doc-资料库

caicaifruit-8764957-4744302543442339577.doc.pdf-第1页.png

第1页 / 共7页

caicaifruit-8764957-4744302543442339577.doc.pdf-第2页.png

第2页 / 共7页

caicaifruit-8764957-4744302543442339577.doc.pdf-第3页.png

第3页 / 共7页

caicaifruit-8764957-4744302543442339577.doc.pdf-第4页.png

第4页 / 共7页

caicaifruit-8764957-4744302543442339577.doc.pdf-第5页.png

第5页 / 共7页

caicaifruit-8764957-4744302543442339577.doc.pdf-第6页.png

第6页 / 共7页

caicaifruit-8764957-4744302543442339577.doc.pdf-第7页.png

第7页 / 共7页

IT 治理国际标准 ISO 38500 简介信息技术的迅速发展，推动全球进入了知识经济时代，这个时代的显著特征之一是把计算机网络通讯技术融入组织业务创新领域，尤其是组织业务系统已迈向经营业务电子化发展轨道，从业务流程的电子化到服务渠道的网络化，从客户资源的系统化到决策支持的智能化，信息技术正逐步改变着传统组织的运营模式。随着 IT 组织对 IT 依赖程度的加重，新的风险也随之而来。新技术蓬勃发展的起初几年，企业的失败和相关的财务损失使得投资者和监管者变得谨慎，并要求更高级别的信息披露与说明程度。大规模的外包证明服务提供商的利益并不是总与用户一致的。一些 IT 管理的失败不仅仅浪费了组织的战略机遇，甚至还导致了法律争议。究其失败原因，发现多是由于较差的企业治理、风险管理职责分配不清以及从 IT 投资中获取利益和价值方面缺乏指导造成的，因此， IT 治理变得越来越重要，它指的不仅仅是制度、流程、合规性，还包括更广泛的含义，其关键内容是一套科学的发展能力。可以说如果存在良好的 IT 治理机制，IT 发挥的价值会更大，与企业战略充分融合，不断提升企业的核心竞争力，反之亦然。 ISO 38500:2008 是第一个 IT 治理国际标准，它的出台不仅标志着 IT 治理从概念模糊的探讨阶段进入了一个正确认识的发展阶段，而且也标志着信息化正式进入 IT 治理时代。这一标准将促使国内外一直争论不休的 IT 治理理论得到统一，也会促使我国在引导信息化科学方面发挥重要作用，本文扼要介绍了标准的内容、目标、受众人群与应用要领，及与 CobiT 的区别，供大家参考。一、标准概览 1、名称 ISO/IEC 38500:2008 corporate governance of information technology - 信息技术的组织治理- (以下称 IT 治理)，利用了大量的资源，但主要衍生于 AS8015。

ISO/IEC 29382，信息和通讯技术治理标准，作为现有澳大利亚标准 AS8015 的快速跟随者，于 2007 年首次发布。2008 年 4 月该标准官方正式更名为 ISO/IEC 38500，原 ISO/IEC 29382 放弃使用。ISO/IEC 38500:2008 的购买价格是 84 法郎。 2、发行者 ISO (国际标准化组织) 和 IEC(国际电工委员会) 是世界范围的标准化组织。各国的相关标准化组织都是其成员，并通过各种技术委员会参与相关标准的制定。其他国际组织，政府机构及非政府机构也协同工作。国际标准的草案，须能得到所有会员 75%以上的赞成票，该标准才可被公布为国际标准。在信息技术领域， ISO 和 IEC 成立了一个联合技术委员会 ISO/IEC JTC 1。该委员会以澳大利亚标准 AS8015 为蓝本，并结合 AS 8000:2003 – 良好的治理原则和 AS 3806:2006 – 合规性程序，制定了 IT 治理的国际标准 ISO/IEC 38500:2008。 3、标准发布的目标 ·确保利益相关者对于组织 IT 治理的信心 ·指导管理者治理组织的 IT 使用 ·为 IT 治理的目标评估提供了基础 4、目标读者 ·高级管理者 ·组织中的资源监控团队成员 ·外部的业务或技术专家，包括法律或财务专家、行业协会及专业团体 ·硬件、软件、通讯及其他 IT 产品的厂商

·内部或外部的服务提供者（包括咨询顾问） ·IT 审计师 5、适用范围 ISO/IEC 38500:2008 可以用于任何规模的组织，包括公/私有性质的公司，政府机构以及非营利组织。这一标准提供了一个 IT 治理的框架，以协助组织高层管理者理解并履行他们对于其组织 IT 使用的既定职责，实现 IT 治理的有效性、可用性及效率。 6、认证 ·目前还没有相关的认证(对个人和组织)。二、主要内容 1、主要内容： ·范围、应用与目标 ·良好的 IT 治理框架 ·IT 治理指南 2、指导准则： ·职责分工 ·IT 支持组织发展 ·可获得性 ·可用性

·合规性 ·尊重人性因素(以人为本) 准则一：职责分工 ·对分配职责进行评价 ·确保能够胜任所分配的职责 ·监控所分配职责的实施为 IT 分配职责的方式取决于组织所使用的业务模式和组织架构。例如：有些设备需要内部管理；建议来自于外部的咨询顾问；还有一些 IT 来源于厂商与专业服务提供商。准则二：IT 支持组织发展 ·考虑机遇使 IT 更好的服务于业务发展 ·分配其当下的活动 ·指导计划的实施与发展以弥补差距近几年来，IT 相关设备的发展日新月异，逐渐向小型化、低廉化发展。互联网制定的一系列标准使得不同厂商的设备兼容性与内部可操作性越来越强。这提高了各厂商之间的竞争，也为更广阔的市场创造了新的业务机遇。与此同时，业务实践也有了发展。早期的措施现在往往会导致浪费，极少业务利润，还影响新市场的开拓。预期客户采用新系统的实践越来越长，例如：联网银行间 AMT 的切换不能瞬间完成。准则三：可获得性

这一准则覆盖了风险与价值的规划分配和近期的 IT 投资。管理者需要履行政策与程序来确保投资的安全性。投资案例中的资源分配必须确保以及时的形式重新分配。准则四：可用性 IT 实施包括信息整合、系统能力，它还拓展了退出与处理，以确保组织的环境和数据管理职责得以履行。准则五：合规性这一准则覆盖了所有的内部政策，包括：技术使用（包括：电子邮件与搜索引擎）、职责履行（记录保持、财务报表、关于组织与业务持续性隐私信息的保护）准则六：尊重人性因素其中 IT 的人性因素包括： ·用户界面的可用性与友好性 ·人们受到 IT 所带来的业务流程改变的影响的需求由于 IT 会直接而迅速的影响组织的实施，管理者应当像管理其财务与人力资源那样，指挥、评价与监控其组织的 IT 应用。三、治理机制关于 IT，管理者有三项主要活动，即：指导、评价与监控。有效地 IT 治理应当是可实施的、具有一致性的。DEM 模型聚焦于更广泛层次上的 IT 治理，它略微不同于管理者典型使用的 PDCA 模型。在这一模型中，管理者依据业务压力与业

务需求来监控（Monitor）并评价（Evaluate）组织的 IT 使用，而后指导（Direct）实施政策方针以弥补差距。该模型如下图所示：四、与 CobiT 的区别 ISO/IEC 38500:2008 国际标准国际标准化组织分类发布者最新版本 ISO/IEC 38500:2008 发布时间 2008.06 特点指导、评价与监控认证侧重点目前还没有认证有效的 IT 治理范围、技术与业务沟通的相关术语表 CobiT 非国际标准，一套行为指南国际信息系统控制与审计协会(美国) CobiT 4.1 2007.01 基于控制、面向业务、流程导向、度量驱动只有 CobiT Foundation 认证信息化全生命周期管理主要用途 IT 治理的测评 IT 风险管理与内控

五、ITGov 观点 1、这是第一个 IT 治理国际标准 2、这个标准简短的、易读，但相关概念十分复杂。 3、为 IT 治理提供了一个有效的、易实施的、高效的框架，更好的将组织决策与 IT 联系起来 4、该标准中的建议与指南适用于任何形式规模的组织 5、该标准中的建议与指南不仅供管理者使用，还可面向其下属职员，组织中各个层面的人都能读懂 6、该标准为所有关键员工提供了合适的 IT 治理基本指南 7、该标准介绍了好的治理所需要的一些特征及治理流程，但是离真正的实施还有距离，需要其他标准的补充

资料库

ISO38500 IT治理国际标准.doc

相关推荐

行业

热门标签

最新资料