ГОСТ Р ИСО/МЭК 38500-2017

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информационные технологии

СТРАТЕГИЧЕСКОЕ УПРАВЛЕНИЕ ИТ В ОРГАНИЗАЦИИ

Information technology. Governance of IT for the organization

ОКС 35.020

Дата введения 2018-09-01

Предисловие

1 ПОДГОТОВЛЕН Обществом с ограниченной ответственностью "Информационно-аналитический вычислительный центр" (ООО ИАВЦ) на основе собственного перевода на русский язык англоязычной версии стандарта, указанного в пункте 4

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 22 "Информационные технологии"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 8 сентября 2017 г. N 1041-ст

4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 38500:2015* "Информационные технологии. Стратегическое управление ИТ в организации" (ISO/IEC 38500:2015 "Information technology - Governance of IT for the organization", IDT).

________________

     * Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.

ИСО/МЭК 38500 разработан подкомитетом ПК 40 "Управление информационными технологиями и услугами ИТ" Совместного технического комитета СТК 1 "Информационные технологии" Международной организации по стандартизации (ИСО) и Международной электротехнической комиссии (МЭК)

5 ВВЕДЕН ВПЕРВЫЕ

6 ПЕРЕИЗДАНИЕ. Январь 2019 г.

7 Некоторые положения международного стандарта, указанного в пункте 4, могут являться объектом патентных прав. ИСО и МЭК не несут ответственности за идентификацию подобных патентных прав

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Введение

Международный стандарт ИСО/МЭК 38500:2015 разработан взамен ИСО/МЭК 38500:2008.

Целью настоящего стандарта является предоставление руководящим органам принципов, определений и модели для оценки, руководства, анализа и отслеживания использования информационных технологий (ИТ) в своих организациях.

Настоящий стандарт представляет собой высокоуровневый рекомендательный документ, определяющий принципы стратегического управления ИТ. Кроме того он обеспечивает общие инструкции в отношении роли руководящих органов, а также помогает организациям использовать соответствующие стандарты для осуществления стратегического управления ИТ.

Многие организации используют ИТ как важнейший инструмент бизнеса; в редких случаях организации могут эффективно работать без них. ИТ - также значительный фактор в будущих бизнес-планах многих организаций.

Затраты на ИТ могут составлять существенную долю финансовых и кадровых затрат организации. При этом возврат инвестиций от таких вложений часто не реализуется полностью, и отрицательное влияние на организацию может быть значительным.

Основные причины таких негативных результатов связаны с тем, что упор делается на технические, финансовые и плановые аспекты ИТ, а не на бизнес-контекст использования ИТ.

Настоящий стандарт описывает принципы, определения и модель для эффективного стратегического управления ИТ; он предназначен для помощи высшему руководству организаций в понимании и выполнении их юридических, регулирующих и этических обязательств в отношении использования ИТ в организациях.

Настоящий стандарт соответствует определению корпоративного стратегического управления, опубликованному в отчете Комитета по финансовым аспектам корпоративного управления ("Отчет Кэдбери") в 1992 году. Этот отчет также обеспечил основу определения корпоративного стратегического управления в документе Организации экономического сотрудничества и развития (ОЭСР) "Принципы корпоративного управления", принятом в 1999 году (и пересмотренном в 2004 году). Корпоративное стратегическое управление и оперативное управление - разные понятия; во избежание путаницы в настоящем стандарте даются определения обоих понятий. Подробнее они рассматриваются в ИСО/МЭК ТО 38502.

Настоящий стандарт предназначен главным образом для руководящих органов. В некоторых организациях (обычно небольшого размера) члены руководящего стратегического органа одновременно могут быть операционными линейными руководителями. Настоящий стандарт применим во всех организациях, от самых маленьких до самых крупных, вне зависимости от их назначения, устройства и формы собственности.

Процесс внедрения стратегического управления ИТ приведен в ISO/IEC TS 38501.

     1 Область применения

Настоящий стандарт описывает руководящие принципы для членов руководящих органов организаций (которые могут включать собственников, директоров, партнеров, руководителей и пр.) по эффективному, действенному и приемлемому использованию информационных технологий (ИТ) в организации.

Настоящий стандарт также предоставляет рекомендации для лиц, ответственных за консультирование, информирование или помощь руководящим органам. В их число входят:

- руководители верхнего звена;

- члены групп, отслеживающих ресурсы в организации;

- внешние бизнес-специалисты или технические специалисты, например юристы и бухгалтеры, розничные или промышленные ассоциации, профессиональные сообщества;

- внутренние и внешние поставщики услуг (включая консультантов);

- аудиторы.

Настоящий стандарт применим к стратегическому управлению настоящим и будущим использованием ИТ, включая процессы управления и решения, относящиеся к настоящему и будущему. Эти процессы могут контролироваться собственными ИТ-специалистами организации, внешними поставщиками услуг или бизнес-подразделениями организации.

Настоящий стандарт определяет стратегическое управление ИТ как подмножество или область организационного стратегического управления, или в случае корпорации - корпоративного стратегического управления.

Настоящий стандарт применим к любым организациям, включая общественные и частные компании, государственные структуры и некоммерческие организации. Этот стандарт применим в организациях любого размера, от небольших до самых крупных, вне зависимости от степени использования ИТ.

Цель настоящего стандарта - способствовать эффективному, действенному и приемлемому использованию информационных технологий в организациях за счет следующих факторов:

- обеспечения уверенности заинтересованных лиц в том, что при соблюдении принципов и методик, предлагаемых настоящим стандартом, они могут доверять стратегическому управлению ИТ в своих организациях;

- информирования и ориентирования руководящих органов в отношении использования ИТ в их организациях;

- формирования словаря для стратегического управления ИТ.

     2 Термины и определения

В настоящем стандарте применены следующие термины с соответствующими определениями.

2.1 приемлемый (acceptable): Отвечающий ожиданиям заинтересованных лиц, если можно продемонстрировать обоснованность и разумность этих ожиданий.

2.2 ответственный (accountable): Несущий ответственность за действия, решения и работоспособность.

2.3 подотчетность (accountability): Состояние ответственности.

Примечание - Состояние ответственности по отношению к установленной обязанности. Обязанность может основываться на нормативах, соглашении или назначении как части делегирования.

2.4 корпоративное стратегическое управление (corporate governance): Система, в которой корпорации управляются и контролируются.

Примечания

1 Это организационное управление, применяемое к корпорациям.

2 Из Отчета Кэдбери 1992 г. и документа ОЭСР 1999 г.

3 Определение включает разъяснение изменения терминологии по сравнению с предыдущей редакцией.

2.5 направление (direct): Взаимодействие с кем-либо для передачи желаемых целей и результатов.

Примечания

1 В контексте стратегического управления ИТ это подразумевает постановку целей, выработку стратегий и политик для принятия членами организации, чтобы обеспечить соответствие ИТ целям бизнеса.

2 Цели, стратегии и политики могут устанавливаться менеджерами, если руководящий орган делегировал им соответствующие полномочия.

2.6 оценка (evaluate): Рассмотрение и вынесение обоснованных заключений.

Примечание - В контексте стратегического управления ИТ оценка включает в себя заключения о внутренних и внешних, существующих и будущих обстоятельствах и возможностях, связанных с текущим и будущим использованием ИТ в организации.

2.7 руководитель верхнего звена (executive manager): Человек, которому руководящий орган делегирует полномочия по реализации стратегий и политик для достижения целей организации.

Примечания

1 К руководителям верхнего звена могут относиться сотрудники, подотчетные руководящему органу или главе организации либо несущие общую ответственность по основным направлениям деятельности. Например, исполнительный директор, руководитель государственной организации, финансовый директор, операционный директор, ИТ-директор и аналогичные руководители.

2 В стандартах менеджмента руководители верхнего звена могут называться топ-менеджерами.

2.8 стратегическое управление (governance): Система управления и контроля.

2.9 руководящий орган (governing body): Человек или группа людей, которые отвечают за работу организации и ее соответствие требованиям.

2.10 стратегическое управление ИТ (governance of IT): Система, при помощи которой осуществляется управление и контроль настоящим и будущим использованием ИТ.

Примечания

1 Стратегическое управление ИТ является одним из компонентов или подмножеством организационного стратегического управления.

2 Термин "стратегическое управление ИТ" эквивалентен терминам "корпоративное стратегическое управление ИТ", "стратегическое управление ИТ предприятия", а также "организационное стратегическое управление ИТ".