ГОСТ Р 58608-2019/ISO/lEC TR 38502:2017
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Информационные технологии
СТРАТЕГИЧЕСКОЕ УПРАВЛЕНИЕ ИТ
Структура и модель
Information technology. Governance of IT. Framework and model
ОКС 35.020
Дата введения 2021-01-01
Предисловие
1 ПОДГОТОВЛЕН Акционерным обществом "Всероссийский научно-исследовательский институт сертификации" (АО "ВНИИС") и Обществом с ограниченной ответственностью "Информационно-аналитический вычислительный центр" (ООО ИАВЦ) на основе собственного перевода на русский язык англоязычной версии документа, указанного в пункте 4
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 022 "Информационные технологии"
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 18 октября 2019 г. N 1030-ст
4 Настоящий стандарт идентичен международному документу ISO/IEC TR 38502:2017* "Информационные технологии. Стратегическое управление ИТ. Структура и модель" (ISO/IEC TR 38502:2017 "Information technology - Governance of IT - Framework and model", IDT).
________________
* Доступ к международным и зарубежным документам, упомянутым в тексте, можно получить, обратившись в Службу поддержки пользователей. - Примечание изготовителя базы данных.
ISO/IEC TR 38502 разработан подкомитетом ПК 40 "Управление информационными технологиями и услугами ИТ" Совместного технического комитета СТК 1 "Информационные технологии" Международной организации по стандартизации (ИСО) и Международной электротехнической комиссии (МЭК)
5 ВВЕДЕН ВПЕРВЫЕ
6 Некоторые положения международного документа, указанного в пункте 4, могут являться объектом патентных прав. ИСО и МЭК не несут ответственности за идентификацию подобных патентных прав
Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)
Введение
Успех любых инвестиций в информационные технологии (ИТ), будь то новые инициативы или существующие операции, определяется выгодой, которую они приносят организации-инвестору.
Как правило, выгоды от инвестиций в ИТ напрямую не вытекают из предоставляемых или поддерживаемых ИТ. Скорее всего, полученные выгоды являются результатом изменений деятельности организации, которые стали возможны при использовании технологии для удовлетворения требований или потребностей организации. Организации нуждаются в стратегии и механизмах поддержки ИТ, которые обеспечивают максимальную отдачу от инвестиций в ИТ при одновременном управлении рисками, связанными с использованием ИТ. Риски включают в себя неспособность достигнуть требуемой мощности, неспособность бизнеса извлечь необходимые выгоды, наличие сбоев в функционировании ИТ, которые могут дестабилизировать бизнес, привести к невыполнению обязательств, несоблюдению нормативных требований, сбоям безопасности, потере данных, простою и т.д.
Одна из задач, стоящих перед организацией в области инвестиций в ИТ, заключается в обеспечении того, чтобы эти инвестиции и решения о приобретении основывались на бизнес-стратегиях, приоритетах и потребностях организации. Поэтому те, кто отвечает за стратегическое управление организацией, должны осуществлять надлежащий контроль и вовлекаться в принятие решений, касающихся использования ИТ в бизнесе, с тем чтобы такие решения основывались на бизнес-стратегиях, приемлемом риске, приоритетах и потребностях организации. Усилия, которые требуются для получения ожидаемых выгод, должны быть определены и понятны.
ИСО/МЭК 38500 [1] признает, что обеспечение надлежащего баланса спроса и предложения ИТ требует от топ-менеджмента организации грамотного стратегического и оперативного управления. Целью ИСО/МЭК 38500 является предоставление руководящему органу методов оценки, управления и мониторинга использования ИТ в организации.
Понятие "стратегическое управление" применительно к ИТ часто используют неправильно. Например, довольно часто термин "стратегическое управление" заменяют на термины "системы менеджмента", "структуры управления" и "информационные системы", которые сами по себе не относятся к стратегическому управлению, но которые одновременно являются результатами проведения и необходимыми инструментами эффективного стратегического управления. В результате очень часто возникает путаница в понимании функций стратегического и оперативного управления, и это затрудняет разработку непротиворечивой системы стратегического управления и для внедрения эффективных методов стратегического управления в организации.
Настоящий стандарт разработан с целью разъяснения различий между концепциями стратегического управления и операционного управления в области ИТ. В стандарте представлена модель, иллюстрирующая отношения между стратегическим управлением и оперативным управлением и определяющая ответственность каждого типа управления.
1 Область применения
Настоящий стандарт предоставляет руководство по природе и механизмам стратегического и оперативного управления, а также их взаимосвязи, в контексте информационных технологий (ИТ) в организации.
Цель настоящего стандарта заключается в предоставлении информации о структуре и моделях, которые могут использоваться для определения ограничений и взаимосвязей между стратегическим и операционным управлением как в текущем периоде, так и в будущем, при использовании ИТ.
Стандарт предоставляет руководство для следующего круга лиц:
- руководящих органов;
- руководителей, чьи компетенции и ответственность связаны со стратегическим управлением;
- советников или тех, кто осуществляет помощь в стратегическом управлении организаций всех размеров и типов;
- разработчиков стандартов в области стратегического и оперативного управления ИТ.
2 Нормативные ссылки
Настоящий стандарт не содержит нормативных ссылок.
3 Термины и определения
В настоящем стандарте применены термины по ИСО/МЭК 38500, а также следующие термины с соответствующими определениями.
ИСО и МЭК ведут терминологические базы данных в области стандартизации по следующим адресам:
- IEC Electropedia: см. https://www.electropedia.org/
- ISO онлайн доступ: см. https://www.iso.org/obp
3.1 структура стратегического управления (governance framework): Стратегии, политики, системы принятия решений и подотчетность, с помощью которых осуществляется функционирование управленческих механизмов организации.
3.2 внутренний контроль (internal control): Политика, внутренние процедуры, практика и организационные структуры, разработанные для обеспечения гарантий достижения целей бизнеса и для выявления, предотвращения и исправления неблагоприятных событий.
3.3
система менеджмента (management system): Совокупность взаимозависимых и взаимосвязанных элементов организации, направленных на формирование политик и целей, а также процессов достижения этих целей. Примечания 1 Система менеджмента может рассматривать отдельную дисциплину или несколько дисциплин. 2 Системы менеджмента должны функционировать внутри стратегий, структур, обязанностей и подотчетности, описанных в структуре стратегического управления. [ИСО 9000:2015, статья 3.5.3, изменения в примечаниях] |
3.4
риск-аппетит (risk appetite): Величина и тип риска, приемлемого для организации. [ISO Guide 73:2009, статья 3.7.1.2] |
4 Модель и структура
4.1 Модель стратегического управления ИТ
4.1.1 Обязанности и подотчетность руководящего органа
Руководящий орган несет ответственность и контролирует результаты текущего и будущего использования ИТ в организации, что входит в его обязанности по стратегическому управлению организацией.
|
Примечание - Источник: ИСО/МЭК 38500.
Рисунок 1 - Модель стратегического управления ИТ
Полномочия, обязанности и подотчетность руководящего органа будут зависеть от источника полномочий, такого как законодательный механизм, в рамках которого он функционирует. Допустимый уровень полномочий и ограничения деятельности организации обычно задокументированы. В зависимости от размера, типа организации и законодательной базы, применимой к ней, в качестве такой документации используют учредительный договор, устав или обычное соглашение между сторонами.
Во многих акционерных обществах руководящим органом является совет, например, совет директоров. Существуют определенные юрисдикции, в которых используется двухуровневая структура с наблюдательным и исполнительным советами.
4.1.2 Задачи стратегического управления
В ИСО/МЭК 38500 [1] представлены рекомендации руководящему органу по решению с помощью ИТ следующих задач:
- оценки;
- управления;
- мониторингу.
Попробуйте «Техэксперт: Лаборатория. Инспекция. Сертификация» бесплатно