IT治理国际标准ISO38500

1、IT治理国际标准ISO 38500简介信息技术的迅速发展，推动全球进入了知识经济时代，这个时代的显著特征之 一是把计算机网络通讯技术融入组织业务创新领域，尤其是组织业务系统已迈向经 营业务 电子化发展轨道，从业务流程的电子化到服务渠道的网络化，从客户资源的系统化到决策支持的智能化，信息技术正逐步改变着传统组织的运营模式。随着IT 组织 对IT依赖程度的加重，新的风险也随之而来。新技术蓬勃发展的起初几年，企业的失败和相关的财务损失使得投资者和监 管者变得谨慎，并要求更高级别的信息披露与说明程度。大规模的外包证明服务提 供商的利益并不是总与用户一致的。一些IT管理的失败不仅仅浪费了 组织的战略机遇

2、，甚至还导致了法律争议。究其失败原因，发现多是由于较差的企业治理、风 险管理职责分配不清以及从IT投资中获取利益和价值方面缺乏指导造成的，因此,IT治理变得越来越重要，它指的不仅仅是制度、流程、合规性，还包括更广泛的含 义，其关键内容是一套科学的发展能力。可以说如果存在良好的IT治理机制，IT发挥的价值会更大，与企业战略充分融合，不断提升企业的核心竞争力，反之亦然。ISO 38500:2008是第一个IT治理国际标准，它的出台不仅标志着 IT治理 从概念模糊的探讨阶段进入了一个正确认识的发展阶段，而且也标志着信息化正式 进入IT治理时代。这一标准将促使国内外一直争论不休的IT治理理论得到统一，

3、也会促使我国在引导信息化科学方面发挥重要作用，本文扼要介绍了标准的内容、 目标、受众人群与应用要领，及与 CobiT的区别，供大家参考。一、标准概览1、名称ISO/IEC 38500:2008 corporate governance of information technology - 信息技术的组织治理-（以下称IT治理），利用了大量的资源，但主要衍生于AS8015ISO/IEC 29382,信息和通讯技术治理标准，作为现有澳大利亚标准AS8015的快速跟随者，于2007年首次发布。2008年4月该标准官方正式更名为ISO/IEC 38500,原ISO/IEC 29382放弃使用。ISO

4、/IEC 38500:2008的购买价格是84法郎。2、发行者ISO （国际标准化组织）和IEC（国际电工委员会）是世界范围的标准 化组织。各国的相关标准化组织都是其成员，并通过各种技术委员会参与相关标准 的制定。其他国际组织，政府机构及非政府机构也协同工作。国际标准的草案，须 能得到所有会员75%Z上的赞成票，该标准才可被公布为国际标准。在信息技 术领 域，ISO和IEC成立了一个联合技术委员会ISO/IEC JTC 1。该委员会以澳大利亚 标准AS8015为蓝本，并结合 AS 8000:2003 - 良好的治理原则和 AS 3806:2006 - 合规性程序，制定了 IT治理的国际标准IS

5、O/IEC 38500:2008。3、标准发布的目标 确保利益相关者对于组织IT治理的信心 指导管理者治理组织的IT使用 为IT治理的目标评估提供了基础4、目标读者 高级管理者组织中的资源监控团队成员,外部的业务或技术专家，包括法律或财务专家、行业协会及专业团体 硬件、软件、通讯及其他IT产品的厂商内部或外部的服务提供者（包括咨询顾问） IT审计师5、适用范围ISO/IEC 38500:2008可以用于任何规模的组织，包括公/私有性质的公司， 政府机构以及非营利组织。这一标准提供了一个IT治理的框架，以协助组织高层管 理者理解并履行他们对于其组织IT使用的既定职责，实现IT治理的有效性、可用

6、性及效率。6、认证目前还没有相关的认证（对个人和组织）。二、主要内容1、主要内容： 范围、应用与目标 良好的IT治理框架 IT治理指南2、指导准则： 职责分工 IT支持组织发展 可获得性 可用性,合规性 尊重人性因素（以人为本）准则一：职责分工 对分配职责进行评价 确保能够胜任所分配的职责 监控所分配职责的实施为IT分配职责的方式取决于组织所使用的业务模式和组织架构。例如：有些 设备需要内部管理；建议来自于外部的咨询顾问；还有一些IT来源于厂商与专业服 务提供商。准则二：IT支持组织发展 考虑机遇使IT更好的服务于业务发展 分配其当下的活动 指导计划的实施与发展以弥补差距近几年来，IT相关设备

7、的发展日新月异，逐渐向小型化、低廉化发展。 互联网制定的一系列标准使得不同厂商的设备兼容性与内部可操作性越来越强。这 提高了各 厂商之间的竞争，也为更广阔的市场创造了新的业务机遇。 与此同时，业 务实践也有了发展。早期的措施现在往往会导致浪费，极少业务利润，还影响新市 场的开 拓。预期客户采用新系统的实践越来越长， 例如：联网银行间AMT勺切换不 能瞬间完成。这一准则覆盖了风险与价值的规划分配和近期的IT投资。管理者需要履行政策与程序来确保投资的安全性。投资案例中的资源分配必须确保以及时的形式 重新分配。准则四：可用性IT实施包括信息整合、系统能力，它还拓展了退出与处理，以确保组织的 环境和数

8、据管理职责得以履行。准则五：合规性这一准则覆盖了所有的内部政策，包括： 技术使用（包括：电子邮件与搜 索引擎）、职责履行（记录保持、财务报表、关于组织与业务持续性隐私信息的保 护）准则六：尊重人性因素其中IT的人性因素包括： 用户界面的可用性与友好性 人们受到IT所带来的业务流程改变的影响的需求由于IT会直接而迅速的影响组织的实施，管理者应当像管理其财务与人 力资源那样，指挥、评价与监控其组织的IT应用。三、治理机制关于IT,管理者有三项主要活动，即：指导、评价与监控。有效地 IT治 理应当是可实施的、具有一致性的。DEMK型聚焦于更广泛层次上的IT治理，它略 微不同于管理者典型使用的PDCA

9、真型。在这一模型中，管理者依据业务压力与业务需求来监控（Monitor ）并评价（Evaluate ）组织的IT使用，而后指导（Direct ） 实施政策方针以弥补差距。该模型如下图所示：业务压力业务需求IIT 治理/ I评价解规划策略提出建议的务流程四、与CobiT的区别ISO/IEC 38500:2008CobiT分类国际标准非国际标准，一套行为指南发布者国际标准化组织国际信息系统控制与审计协会（美国）最新版本ISO/IEC 38500:2008CobiT 4.1发布时间2008.062007.01特点指导、评价与监控基于控制、面向业务、流程导向、度量驱 动认证目前还没有认证只有 CobiT Foundation 认证侧重点后效的II治理范围、技木 与业务沟通的相关术语表信息化全生命周期管理主要用途IT治理的测评IT风险管理与内控五、ITGov观点1、 这是第一个IT治理国际标准2、 这个标准简短的、易读，但相关概念十分复杂。3、 为IT治理提供了一个有效的、易实施的、高效的框架，更好的将组织决策与IT联系起来4、 该标准中的建议与指南适用于任何形式规模的组织5