当前位置: 首页 > 知识体系 > IT Governance > 详情

ISO/IEC 38500:2008

  • 1 标题/定义
    ISO/IEC 38500:2008 公司信息技术治理
    2 基本知识
    ISO/IEC 38500:2008为组织的主管(包括组织所有者、董事会成员、合伙人、高级管理人员或类似职务的人)提供了在组织内有效、高效和合理使用信息技术的指导原则。
    3 摘要
    国际标准化组织(ISO)和国际电工委员会(IEC)对ISO/IEC 38500:2008拥有知识产权。该标准有助于自上而下地阐明IT治理,意即主管可以按照下面所列的原则,确保为所有IT活动建立一个恰当的治理和保障框架,来向所有利益相关方和合法机构证明其对于IT资源的有效管理。需要符合以下原则:
     
    责任 —— 员工知道自己在IT需求和供给双方面的责任,并有能够履行职责的授权。
    战略——业务战略应尽可能与IT保持一致,组织内的所有IT均应支持业务战略。
    采购——所有的IT投资必须以商业论证为基础,定期监测,以评估各项前提假设是否仍然成立。
    绩效——IT系统的绩效应该以业务收益为导向,因此IT必须正确地支持业务。
    一致性——IT系统应有助于确保业务流程符合法律和法规,IT本身也必须符合法律规定和内部规定。
    人员行为——IT政策、惯例和决定要尊重人的行为习惯,并确认流程中所有人的需要。
    该标准由三部分组成:适用范围、框架和指南。
     
    4 目标受众
    高级管理人员;组织内监控资源的成员;外部业务人员或技术专家,如法律或会计专家、零售行业协会或专业机构;硬件、软件、通讯以及其他IT产品的供应商;内部和外部服务提供商(包括咨询顾问);IT审核员。
     
    5 范围和局限性
    ISO/IEC 38500:2008适用于组织对与信息和通讯服务相关的管理流程(和决策)进行治理。这些过程可以由组织内部的IT专家或外部服务供应商,或由组织内部的业务部门来控制。本标准适用于任何类型的私营企业、公共部门和非营利组织,不论其规模和形式如何,以及其使用IT的程度如何。
    优势
     
    ISO/IEC 38500:2008 IT治理框架的主要优势是确保所有IT风险和活动都有明确的责任分配,尤其是分配和监控IT安全责任、策略和行为,以便采取适当的措施和机制,对当前和计划的IT建立报告和响应。例如,符合最新的数据保护要求,需要对所有便携式设备加密,如个人笔记本电脑和存储设备。
    局限性
     
    外包:如果企业IT外包的话,无法把一些针对IT管理者的特殊要求强加给公司管理者,在这样的情况下,需要在与IT服务供应商的合同中明确这些要求。
    孤立地应用标准:ISO 38500不是“一刀切”。它不会取代COBIT、ITIL或者其他的标准或框架。相反,它通过提供IT需求方的关注点使其更加完善。
     
     
    6 相关链接 (网址)
    ISO官方网址:www.iso.org

    (C) Van Haren Publishing 2015
    该文章的版权属于国际最佳实践管理联盟和荷兰范哈仑出版社,未经授权,不得转载!版权所有,侵权必究。