Международный стандарт ISO/IEC 38500 был официально опубликован 1 июня 2008 года и стал первым стандартом корпоративного стратегического управления ИТ.
Стандарт предоставляет фреймворк (framework) для эффективного стратегического управления ИТ и помогает высшему руководству организаций понимать и выполнять правовые, этические и нормативные обязательства в отношении использования ИТ.
Следует отметить, что применение стандарта ISO/IEC 38500:2008 "Корпоративное управление информационными технологиями", применим к организациям всех размеров и типов, включая публичные, частные, неприбыльные и правительственные организации.
В стандарте термин "Корпоративное управление информационными технологиями" (Corporate governance of IT) приведен следующим образом (ISO/IEC 38500:2008, Термины и определения, 1.6.3, Корпоративное управление ИТ):
"Система, обеспечивающая управление и контроль в отношении текущего и будущего использования информационных технологий (ИТ). Корпоративное управление ИТ включает в себя оценку и направление использования ИТ и мониторинг исполнения планов. Определяет стратегию и политики использования ИТ в организации."
Целью стандарта ISO/IEC 38500:2008 является содействие эффективному и приемлемому использованию информационных технологий во всех организациях путем:
Структура стандарта ISO/IEC 38500:2008 содержит три раздела и насчитывает всего 15 страниц:
Стандарт устанавливает шесть принципов хорошего корпоративного управления ИТ:
После описания шести принципов, стандарт определяет три задачи управления для руководства организации в отношении ИТ:
Эффективное управление ИТ должно выполняться последовательно. Модель корпоративного управления ИТ (Модель EDM, от Evaluate –– Direct –– Monitor), приведенная на Рисунке 1, затрагивает более высокий уровень, и имеет отличия в сравнении с привычным циклом модели PDCA.
Руководство контролирует и оценивает деятельность, в сфере информационных технологий, с учетом требований и нужд бизнеса, а затем направляет создание политик для покрытия несоответствий.
Оценивать
Руководство организации должно в рамках задачи "Оценка" должно:
Направлять
Руководство организации несет непосредственную ответственность подготовку и внедрение планов и политик. Планы должны определять направление для инвестиций в ИТ-проекты и операционную деятельность ИТ. Политики определяют "правила поведения" в использовании ИТ.
Руководство организации должно гарантировать, что перевод ИТ-проектов на "продуктивную среду" надлежащим образом планируется и выполняется, с учетом возможного влияния на бизнес, ИТ-системы и ИТ-инфраструктуру.
Руководство организации должно поощрять культуру эффективного управления ИТ, требуя от руководителей разного уровня предоставления своевременной информации по своим направлениям, в соответствии с шестью принципами эффективного управления.
При выявлении несоответствий в деятельности ИТ руководство организации должно разработать и утвердить план по их устранению.
Контролировать
Руководство организации должно контролировать показатели деятельности ИТ путем использования соответствующих автоматизированных систем. Руководство должно быть уверено, что деятельность ИТ производится в соответствии с планами и бизнес-целями.
Контроль позволяет руководству быть уверенным, что деятельность в сфере ИТ соответствует как внешним требованиям (законодательство, нормативные документы отрасли, договорные отношения) так и внутренним практикам работы.
Ответственность за некоторые аспекты деятельности ИТ могут быть делегированы соответствующим руководителям , но ответственность за эффективную деятельность ИТ, остается в зоне ответственности руководства организации и не могут быть делегированы.
Примечание: Во время написания этой статьи не существовало официального перевода стандарта "ISO/IEC 38500:2008 Corporate governance of information technology". Термины, приведённые в статье, могут отличаться от официального перевода, когда (и если) он выйдет.