ISO/IEC 38500 ang. Corporate governance of information technology

ISO/IEC 38500
Norma
Nadzór IT
Logo ISO/IEC
WłaścicielISO/IEC
RozpowszechnianieISO/IEC
Powstanie2008 r.
Aktualna wersjaISO/IEC 38500:2008
CertyfikacjaISO
Oficjalna strona internetowa


ISO/IEC 38500 - międzynarodowa norma dostarczająca zasad nadzoru IT. Stanowi źródło pomocnych zasad dla kierowników organizacji (łącznie z właścicielami, członkami zarządu, dyrektorami, partnerami, dyrektorami wykonawczymi wyższego szczebla, itp.) dotyczących efektywnego, wydajnego i akceptowalnego stosowania IT w ich organizacjach. Podstawą normy był australijski standard AS 8015-2005, który został zatwierdzony w maju 2008 r. po przejściu szybkiej ścieżki.

Spis treści

Charakterystyka

Właścicielem ISO/IEC 38500 są międzynarodowe organizacje standaryzacyjne ISO i IEC. Norma pomaga w wyjaśnieniu nadzoru IT, opisując je jako narzędzie dla dyrektorów wykazujących się wobec wszystkich interesariuszy oraz organów kontroli skutecznym zarządzaniem zasobami IT. Pozwala zapewnić, że istnieje odpowiedni schemat nadzoru i bezpieczeństwa dla wszystkich działań IT, dzięki zastosowaniu poniższych zasad.

Zasady to:
  • odpowiedzialność (ang. responsibility) – pracownicy znają swoje obowiązki zarówno pod względem popytu, jak i podaży IT, a także mają prawo do wypełniania tychże obowiązków.
  • strategia (ang. strategy) – strategie biznesowe powinny łączyć się z możliwościami IT, a całe IT organizacji powinno wspierać strategie biznesowe;
  • nabycie (ang. acquisition) – wszystkie inwestycje IT muszą być dokonywane na podstawie Business case wraz z regularną kontrolą na miejscu w celu oceny, czy założenia mogą nadal być podtrzymywane;
  • wydajność (ang. performance) – wydajność systemów IT powinna prowadzić do korzyści biznesowych i z tego powodu IT musi odpowiednio wspierać działalność biznesową;
  • zgodność (ang. conformance) – systemy IT powinny pomóc w zapewnieniu, że procesy biznesowe są zgodne z ustawodawstwem i regulacjami prawnymi; IT samo w sobie również musi być zgodne z wymogami prawnymi oraz uzgodnionymi zasadami wewnętrznymi;
  • ludzkie zachowanie (ang. human behavior) – polityka, praktyki i decyzje IT szanują ludzkie zachowanie i uznają potrzeby wszystkich ludzi zaangażowanych w proces.


Standard składa się z trzech części:
  • zakres (ang. scope),
  • schemat działania (ang. framework),
  • poradnik (ang. guidance).


Adresaci

  • managerowie wyższego szczebla;
  • członkowie grup monitorujący zasoby w organizacji;
  • niebiznesowi lub techniczni specjaliści, np. specjaliści z zakresu prawa lub księgowości, przedstawiciele stowarzyszeń lub organizacji profesjonalistów;
  • dostawcy hardware’u i software’u, systemów komunikacyjnych i innych produktów IT;
  • wewnętrzni i zewnętrzni dostawcy usług (łącznie z doradcami);
  • audytorzy IT.


Wady i zalety

ISO/IEC 38500 stosuje się do nadzoru procesów zarządzania (jak również procesów decyzjnych) odnoszącycch się do usług związanych z informacjami i komunikacją stosowanych przez organizację. Procesy te powinny być kontrolowane przez specjalistów IT w organizacji, przez zewnętrznych dostawców usług lub przez jednostki biznesowe z organizacji. Standard ten stosuje się we wszystkich rodzajach prywatnych i publicznych organizacji oraz organizacji non-profit, niezależnie od ich wielkości i formy oraz bez względu na to, w jakim zakresie stosują IT.

Mocne strony

Główną zaletą schematu nadzoru IT ISO/IEC 38500 jest zapewnienie, że odpowiedzialność jest jasno przypisana wszystkim rodzajom ryzyka i działalności IT. W szczególności obejmuje to przydzielanie i kontrolowanie obowiązków w zakresie bezpieczeństwa IT, strategii oraz zachowań tak, aby odpowiednie środki i mechanizmy zostały stworzone w celu raportowania oraz odpowiadania na obecne i planowanie użycie IT – np. spełnianie najnowszych wymogów ochrony danych dotyczących kodowania wszystkich urządzeń przenośnych, takich jak laptopy i karty pamięci używane w celu gromadzenia i przekazywania danych osobistych.

Ograniczenia

  • outsourcing – pewne wymagania są tak specyficzne dla menedżerów IT, że nie mogą być one nakładane na menedżerów firmy, od której kupuje się usługi IT. W takich przypadkach, wymagania muszą być zabezpieczone w kontrakcie z dostawcą.
  • stosowanie normy w izolacji - ISO 38500 nie jest „rozmiarem uniwersalnym”. Nie zastępuje ono COBIT-u, ITIL-a, czy innych standardów lub frameworków, ale raczej je uzupełnia przez zapewnienie nacisku na tę część IT, która jest związana z popytem.


Zobacz też

Bibliografia

Znaki towarowe

  • COBIT® is protected by copyright under U.S. and other national/international laws. ISACA owns all rights, title and interest in COBIT;
  • IT Infrastructure Library®, ITIL® are registered trade marks of the Cabinet Office;
ostatnia modyfikacja 20 sierpnia 2016 r.