温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,汇文网负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。
网站客服:3074922707
2023
IT
治理
国际标准
ISO38500
天道酬勤
IT治理国际标准ISO38500
IT治理国际标准ISO 38500简介 信息技术的迅速开展,推动全球进入了知识经济时代,这个时代的显著特征之一是把计算机网络通讯技术融入组织业务创新领域,尤其是组织业务系统已迈向经营业务 电子化开展轨道,从业务流程的电子化到效劳渠道的网络化,从客户资源的系统化到决策支持的智能化,信息技术正逐步改变着传统组织的运营模式。随着IT组织 对IT依赖程度的加重,新的风险也随之而来。
新技术蓬勃开展的起初几年,企业的失败和相关的财务损失使得 投资者和监管者变得谨慎,并要求更高级别的信息披露与说明程度。大规模的外包证明效劳提供商的利益并不是总与用户一致的。一些IT管理的失败不仅仅浪费了 组织的战略机遇,甚至还导致了法律争议。究其失败原因,发现多是由于较差的企业治理、风险管理职责分配不清以及从IT投资中获取利益和价值方面缺乏指导造 成的,因此,IT治理变得越来越重要,它指的不仅仅是制度、流程、合规性,还包括更广泛的含义,其关键内容是一套科学的开展能力。可以说如果存在良好的 IT治理机制,IT发挥的价值会更大,与企业战略充分融合,不断提升企业的核心竞争力,反之亦然。
ISO 38500:2023 是第一个IT 治理国际标准,它的出台不仅标志着IT 治理从概念模糊的探讨阶段进入了一个正确认识的开展阶段,而且也标志着信息化正式进入IT 治理时代。这一标准将促使国内外一直争论不休的IT治理理论得到统一,也会促使我国在引导信息化科学方面发挥重要作用,本文扼要介绍了标准的内容、目标、 受众人群与应用要领,及与CobiT 的区别,供大家参考。
一、标准概览 1、名称 ISO/IEC 38500:2023 corporate governance of information technology -信息技术的组织治理- (以下称IT治理),利用了大量的资源,但主要衍生于AS8015。
ISO/IEC 29382,信息和通讯技术治理标准,作为现有澳大利亚标准AS8015的快速跟随者,于2022年首次发布。2023年4月该标准官方正式更名为 ISO/IEC 38500,原ISO/IEC 29382放弃使用。ISO/IEC 38500:2023的购置价格是84法郎。
2、发行者 ISO (国际标准化组织) 和 IEC(国际电工委员会) 是世界范围的标准化组织。各国的相关标准化组织都是其成员,并通过各种技术委员会参与相关标 准的制定。其他国际组织,政府机构及非政府机构也协同工作。国际标准的草案,须能得到所有会员75%以上的赞成票,该标准才可被公布为国际标准。在信息技 术领域, ISO和IEC成立了一个联合技术委员会ISO/IEC JTC 1。该委员会以澳大利亚标准AS8015为蓝本,并结合AS 8000:2003 – 良好的治理原那么和AS 3806:2022 – 合规性程序,制定了IT治理的国际标准ISO/IEC 38500:2023。
3、标准发布的目标 ·确保利益相关者对于组织IT治理的信心 ·指导管理者治理组织的IT使用 ·为IT治理的目标评估提供了根底 4、目标读者 ·高级管理者 ·组织中的资源监控团队成员 ·外部的业务或技术专家,包括法律或财务专家、行业协会及专业团体 ·硬件、软件、通讯及其他IT产品的厂商 ·内部或外部的效劳提供者〔包括咨询参谋〕 ·IT审计师 5、适用范围 ISO/IEC 38500:2023可以用于任何规模的组织,包括公/私有性质的公司,政府机构以及非营利组织。这一标准提供了一个IT治理的框架,以协助组织高层管理者理解并履行他们对于其组织IT使用的既定职责,实现IT治理的有效性、可用性及效率。
6、认证 ·目前还没有相关的认证(对个人和组织)。
二、主要内容 1、主要内容: ·范围、应用与目标 ·良好的IT治理框架 ·IT治理指南 2、指导准那么: ·职责分工 ·IT支持组织开展 ·可获得性 ·可用性 ·合规性 ·尊重人性因素(以人为本) 准那么一:职责分工 ·对分配职责进行评价 ·确保能够胜任所分配的职责 ·监控所分配职责的实施 为IT分配职责的方式取决于组织所使用的业务模式和组织架构。例如:有些设备需要内部管理;建议来自于外部的咨询参谋;还有一些IT来源于厂商与专业效劳提供商。
准那么二:IT支持组织开展 ·考虑机遇使IT更好的效劳于业务开展 ·分配其当下的活动 ·指导方案的实施与开展以弥补差距 近几年来,IT相关设备的开展日新月异,逐渐向小型化、低廉化开展。互联网制定的一系列标准使得不同厂商的设备兼容性与内部可操作性越来越强。这提高了各 厂商之间的竞争,也为更广阔的市场创造了新的业务机遇。与此同时,业务实践也有了开展。早期的措施现在往往会导致浪费,极少业务利润,还影响新市场的开 拓。预期客户采用新系统的实践越来越长,例如:联网银行间AMT的切换不能瞬间完成。
准那么三:可获得性 这一准那么覆盖了风险与价值的规划分配和近期的IT投资。管理者需要履行政策与程序来确保投资的平安性。投资案例中的资源分配必须确保以及时的形式重新分配。
准那么四:可用性 IT实施包括信息整合、系统能力,它还拓展了退出与处理,以确保组织的环境和数据管理职责得以履行。
准那么五:合规性 这一准那么覆盖了所有的内部政策,包括:技术使用〔包括:电子邮件与搜索引擎〕、职责履行〔记录保持、财务报表、关于组织与业务持续性隐私信息的保护〕准那么六:尊重人性因素 其中IT的人性因素包括: ·用户界面的可用性与友好性 ·人们受到IT所带来的业务流程改变的影响的需求 由于IT会直接而迅速的影响组织的实施,管理者应当像管理其财务与人力资源那样,指挥、评价与监控其组织的IT应用。
三、治理机制 关于IT,管理者有三项主要活动,即:指导、评价与监控。有效地IT治理应当是可实施的、具有一致性的。DEM模型聚焦于更广泛层次上的IT治理,它略微 不同于管理者典型使用的PDCA模型。在这一模型中,管理者依据业务压力与业务需求来监控〔Monitor〕并评价〔Evaluate〕组织的IT使用, 而后指导〔Direct〕实施政策方针以弥补差距。该模型如以下列图所示: 四、与CobiT 的区别 ISO/IEC 38500:2023 CobiT 分类 国际标准 非国际标准,一套行为指南 发布者 国际标准化组织 国际信息系统控制与审计协会(美国) 最新版本 ISO/IEC 38500:2023 CobiT 4.1 发布时间 2023.06 2022.01 特点 指导、评价与监控 基于控制、面向业务、流程导向、度量驱动 认证 目前还没有认证 只有CobiT Foundation 认证 侧重点 有效的IT治理范围、技术与业务沟通的相关术语表 信息化全生命周期管理 主要用途 IT治理的测评 IT风险管理与内控 五、ITGov 观点 1、 这是第一个IT治理国际标准 2、 这个标准简短的、易读,但相关概念十分复杂。
3、 为IT治理提供了一个有效的、易实施的、高效的框架,更好的将组织决策与IT联系起来 4、 该标准中的建议与指南适用于任何形式规模的组织 5、 该标准中的建议与指南不仅供管理者使用,还可面向其下属职员,组织中各个层面的人都能读懂 6、 该标准为所有关键员工提供了适宜的IT治理根本指南 7、 该标准介绍了好的治理所需要的一些特征及治理流程,但是离真正的实施还有距离,需要其他标准的补充