ГлавнаяСтатьиОписание и назначение стандарта ISO/IEC 38500

Описание и назначение стандарта ISO/IEC 38500

 

ISO/IEC 38500:2008 Corporate governance of information technology (Стандарт ИСО/МЭК 38500:2008 "Корпоративное управление информационными технологиями")

Международный стандарт ISO/IEC 38500 был официально опубликован 1 июня 2008 года и стал первым стандартом корпоративного стратегического управления ИТ.

Стандарт предоставляет фреймворк (framework) для эффективного стратегического управления ИТ и помогает высшему руководству организаций понимать и выполнять правовые, этические и нормативные обязательства в отношении использования ИТ.

Следует отметить, что применение стандарта ISO/IEC 38500:2008 "Корпоративное управление информационными технологиями", применим к организациям всех размеров и типов, включая публичные, частные, неприбыльные и правительственные организации.

В стандарте термин "Корпоративное управление информационными технологиями" (Corporate governance of IT) приведен следующим образом (ISO/IEC 38500:2008, Термины и определения, 1.6.3, Корпоративное управление ИТ):

"Система, обеспечивающая управление и контроль в отношении текущего и будущего использования информационных технологий (ИТ). Корпоративное управление ИТ включает в себя оценку и направление использования ИТ и мониторинг исполнения планов. Определяет стратегию и политики использования ИТ в организации."

Целью стандарта ISO/IEC 38500:2008 является содействие эффективному и приемлемому использованию информационных технологий во всех организациях путем:

  • обеспечения уверенности заинтересованных лиц (включая заказчиков, акционеров и сотрудников) в том, что в случае следования стандарту, они могут быть уверены, что в организации используется корпоративное управление ИТ; 
  • информирования и направления высшего руководства в вопросах корпоративного управления ИТ в их организации; 
  • обеспечения основы для объективной оценки корпоративного управления ИТ. 

Структура стандарта ISO/IEC 38500:2008 содержит три раздела и насчитывает всего 15 страниц:

  1. Охват, область применения и цели; 
  2. Фреймворк хорошего корпоративного управления ИТ; 
  3. Руководство по корпоративному управлению ИТ. 

Стандарт устанавливает шесть принципов хорошего корпоративного управления ИТ:

  1. Ответственность (Responsibility)
    Сотрудники и группы в организации понимают и принимают свою ответственность в отношении предоставления и потребления ИТ. Эта ответственность подкреплена соответствующими полномочиями. 
  2. Стратегия (Strategy)
    Бизнес-стратегия организации учитывает современные и будущие возможности ИТ; стратегические ИТ-планы отвечают текущим и будущим потребностям бизнес-стратегии всей организации. 
  3. Приобретение (Acquisition)
    ИТ-закупки выполняются обоснованно, на основании надлежащего и постоянного анализа, а также на основании понятных и прозрачных решений. Они должны обеспечивать баланс между преимуществами, возможностями, затратами и рисками в краткосрочной и долгосрочной перспективе. 
  4. Реализация (Performance) ИТ поддерживает деятельность организации, оказывая услуги на надлежащим уровне и с необходимым качеством, в соответствии с текущими и будущими потребностями бизнеса. 
  5. Соответствие (Conformance) ИТ соответствуют всем обязательным требованиям законодательства и нормативным документам. Политики и практики четко определены, внедрены и выполняются. 
  6. Поведение (Human Behaviour)
    ИТ-политики, практики и решения демонстрируют уважение к деятельности людей, включая текущие и будущие нужды всех людей в ИТ-сфере. 

После описания шести принципов, стандарт определяет три задачи управления для руководства организации в отношении ИТ:

  • Оценивать (evaluate) текущие и будущие потребности в использовании информационных технологий. 
  • Направлять (direct) подготовку и внедрение планов и политик в сфере информационных технологий в соответствии с бизнес-целями. 
  • Контролировать (monitor) соответствие политикам и исполнение планов.
Модель корпоративного управления ИТ

Эффективное управление ИТ должно выполняться последовательно. Модель корпоративного управления ИТ (Модель EDM, от Evaluate –– Direct –– Monitor), приведенная на Рисунке 1, затрагивает более высокий уровень, и имеет отличия в сравнении с привычным циклом модели PDCA.

Руководство контролирует и оценивает деятельность, в сфере информационных технологий, с учетом требований и нужд бизнеса, а затем направляет создание политик для покрытия несоответствий.

Оценивать
Руководство организации должно в рамках задачи "Оценка" должно:

  • производить оценку текущих и будущих потребностей в использовании ИТ, анализ предложений и договорённостей с внешними и внутренними поставщиками; 
  • учитывать внешнее и внутреннее факторы, влияющие на бизнес, например, технологические изменения, экономические и социальные тенденции, политическую ситуацию; 
  • обеспечить непрерывность этой деятельности; 
  • учитывать текущие и будущие потребности, текущие и будущие цели организации и ориентироваться на поддержание конкурентных преимуществ. 

Направлять
Руководство организации несет непосредственную ответственность подготовку и внедрение планов и политик. Планы должны определять направление для инвестиций в ИТ-проекты и операционную деятельность ИТ. Политики определяют "правила поведения" в использовании ИТ.

Руководство организации должно гарантировать, что перевод ИТ-проектов на "продуктивную среду" надлежащим образом планируется и выполняется, с учетом возможного влияния на бизнес, ИТ-системы и ИТ-инфраструктуру.

Руководство организации должно поощрять культуру эффективного управления ИТ, требуя от руководителей разного уровня предоставления своевременной информации по своим направлениям, в соответствии с шестью принципами эффективного управления.

При выявлении несоответствий в деятельности ИТ руководство организации должно разработать и утвердить план по их устранению.

Контролировать
Руководство организации должно контролировать показатели деятельности ИТ путем использования соответствующих автоматизированных систем. Руководство должно быть уверено, что деятельность ИТ производится в соответствии с планами и бизнес-целями.

Контроль позволяет руководству быть уверенным, что деятельность в сфере ИТ соответствует как внешним требованиям (законодательство, нормативные документы отрасли, договорные отношения) так и внутренним практикам работы.

Ответственность за некоторые аспекты деятельности ИТ могут быть делегированы соответствующим руководителям , но ответственность за эффективную деятельность ИТ, остается в зоне ответственности руководства организации и не могут быть делегированы.

Примечание: Во время написания этой статьи не существовало официального перевода стандарта "ISO/IEC 38500:2008 Corporate governance of information technology". Термины, приведённые в статье, могут отличаться от официального перевода, когда (и если) он выйдет.