IT治理国际标准ISO38500

1、itit 治理国际标准治理国际标准 iso38500iso38500it 治理国际标准 iso 38500 简介 信息技术的迅速发展，推动全球进入了知识经济时代，这个时代的显著特征之一是把计算机网络通讯技术融入组织业务创新领域，尤其是组织业务系统已迈向经营业务 电子化发展轨道，从业务流程的电子化到服务渠道的网络化，从客户资源的系统化到决策支持的智能化，信息技术正逐步改变着传统组织的运营模式。随着 it 组织 对 it 依赖程度的加重，新的风险也随之而来。新技术蓬勃发展的起初几年，企业的失败和相关的财务损失使得 投资者和监管者变得谨慎，并要求更高级别的信息披露与说明程度。大规模的外包证明服务提供

2、商的利益并不是总与用户一致的。一些 it 管理的失败不仅仅浪费了 组织的战略机遇，甚至还导致了法律争议。究其失败原因，发现多是由于较差的企业治理、风险管理职责分配不清以及从 it 投资中获取利益和价值方面缺乏指导造 成的，因此，it 治理变得越来越重要，它指的不仅仅是制度、流程、合规性，还包括更广泛的含义，其关键内容是一套科学的发展能力。可以说如果存在良好的 it 治理机制，it 发挥的价值会更大，与企业战略充分融合，不断提升企业的核心竞争力，反之亦然。iso 38500:2008 是第一个 it 治理国际标准，它的出台不仅标志着 it 治理从概念模糊的探讨阶段进入了一个正确认识的发展阶段，而

3、且也标志着信息化正式进入 it治理时代。这一标准将促使国内外一直争论不休的 it 治理理论得到统一，也会促使我国在引导信息化科学方面发挥重要作用，本文扼要介绍了标准的内容、目标、 受众人群与应用要领，及与 cobit 的区别，供大家参考。一、标准概览 1、名称iso/iec 38500:2008 corporate governance ofinformation technology -信息技术的组织治理- (以下称 it 治理)，利用了大量的资源，但主要衍生于 as8015。iso/iec 29382，信息和通讯技术治理标准，作为现有澳大利亚标准 as8015的快速跟随者，于 2007 年

4、首次发布。2008 年 4 月该标准官方正式更名为 iso/iec38500，原 iso/iec 29382 放弃使用。iso/iec 38500:2008 的购买价格是 84 法郎。2、发行者iso(国际标准化组织)和iec(国际电工委员会)是世界范围的标准化组织。各国的相关标准化组织都是其成员，并通过各种技术委员会参与相关标准的制定。其他国际组织，政府机构及非政府机构也协同工作。国际标准的草案，须能得到所有会员 75%以上的赞成票，该标准才可被公布为国际标准。在信息技 术领域，iso和 iec 成立了一个联合技术委员会 iso/iec jtc 1。该委员会以澳大利亚标准 as8015 为蓝

5、本，并结合 as 8000:2003 良好的治理原则和 as 3806:2006 合规性程序，制定了it 治理的国际标准 iso/iec 38500:2008。3、标准发布的目标确保利益相关者对于组织 it 治理的信心指导管理者治理组织的 it 使用为 it 治理的目标评估提供了基础 4、目标读者高级管理者组织中的资源监控团队成员外部的业务或技术专家，包括法律或财务专家、行业协会及专业团体硬件、软件、通讯及其他 it 产品的厂商内部或外部的服务提供者（包括咨询顾问）it 审计师 5、适用范围iso/iec 38500:2008 可以用于任何规模的组织，包括公/私有性质的公司，政府机构以及非营利

6、组织。这一标准提供了一个 it 治理的框架，以协助组织高层管理者理解并履行他们对于其组织 it 使用的既定职责，实现 it 治理的有效性、可用性及效率。6、认证目前还没有相关的认证(对个人和组织)。二、主要内容 1、主要内容：范围、应用与目标良好的 it 治理框架it 治理指南 2、指导准则：职责分工it 支持组织发展可获得性可用性合规性尊重人性因素(以人为本) 准则一：职责分工对分配职责进行评价确保能够胜任所分配的职责监控所分配职责的实施为 it 分配职责的方式取决于组织所使用的业务模式和组织架构。例如：有些设备需要内部管理；建议来自于外部的咨询顾问；还有一些 it 来源于厂商与专业服务提供

7、商。准则二：it 支持组织发展考虑机遇使 it 更好的服务于业务发展分配其当下的活动指导计划的实施与发展以弥补差距近几年来，it 相关设备的发展日新月异，逐渐向小型化、低廉化发展。互联网制定的一系列标准使得不同厂商的设备兼容性与内部可操作性越来越强。这提高了各 厂商之间的竞争，也为更广阔的市场创造了新的业务机遇。与此同时，业务实践也有了发展。早期的措施现在往往会导致浪费，极少业务利润，还影响新市场的开 拓。预期客户采用新系统的实践越来越长，例如：联网银行间 amt 的切换不能瞬间完成。准则三：可获得性这一准则覆盖了风险与价值的规划分配和近期的 it 投资。管理者需要履行政策与程序来确保投资的安

8、全性。投资案例中的资源分配必须确保以及时的形式重新分配。准则四：可用性it 实施包括信息整合、系统能力，它还拓展了退出与处理，以确保组织的环境和数据管理职责得以履行。准则五：合规性这一准则覆盖了所有的内部政策，包括：技术使用（包括：电子邮件与搜索引擎）、职责履行（记录保持、财务报表、关于组织与业务持续性隐私信息的保护）准则六：尊重人性因素其中 it 的人性因素包括：用户界面的可用性与友好性人们受到 it 所带来的业务流程改变的影响的需求由于 it 会直接而迅速的影响组织的实施，管理者应当像管理其财务与人力资源那样，指挥、评价与监控其组织的 it 应用。三、治理机制关于 it，管理者有三项主要活

9、动，即：指导、评价与监控。有效地 it 治理应当是可实施的、具有一致性的。dem 模型聚焦于更广泛层次上的 it 治理，它略微 不同于管理者典型使用的 pdca 模型。在这一模型中，管理者依据业务压力与业务需求来监控（monitor）并评价（evaluate）组织的 it 使用， 而后指导（direct）实施政策方针以弥补差距。该模型如下图所示：四、与 cobit 的区别iso/iec 38500:2008 cobit 分类 国际标准 非国际标准，一套行为指南 发布者 国际标准化组织 国际信息系统控制与审计协会(美国) 最新版本iso/iec 38500:2008 cobit 4.1 发布时间 2008.06 2007.01 特点 指导、评价与监控 基于控制、面向业务、流程导向、度量驱动 认证 目前还没有认证 只有 cobit foundation认证 侧重点 有效的 it 治理范围、技术与业务沟通的相关术语表 信息化全生命周期管理主要用途 it 治理的测评 it 风险管理与内控五、itgov 观点 1、这是第一个 it治理国际标准 2、这个标准简短的、易读，但相关概念十分复杂。3、为 it 治理提供了一个有效的、易实施的、高效的框架，更好的将组织决策与