ДСТУ ISO/IEC 38500:2016 Інформаційні технології. Управління ІТ в організації (ISO/IEC 38500:2015, IDТ)

НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ

ДСТУISO/IEC 38500:2016
(ISO/IEC 38500:2015, IDТ)

Інформаційні технології

УПРАВЛІННЯ ІТ В ОРГАНІЗАЦІЇ

Київ
   
(ДП «УкрНДНЦ»)
2018

ПЕРЕДМОВА

1 РОЗРОБЛЕНО: Державне підприємство «Український державний науково-дослідний інститут технологій товарно-грошового обігу, фінансових і фондових ринків «УКРЕЛЕКОН», Технічний комітет стандартизації «Банківські і фінансові системи і технології» (ТК 105)

2 ПРИЙНЯТО ТА НАДАНО ЧИННОСТІ: наказ Державного підприємства «Український науково- дослідний і навчальний центр проблем стандартизації, сертифікації та якості» (   
(ДП «УкрНДНЦ»)) від 27 грудня 2016 р. № 440 з 2017-10-01

3 Національний стандарт відповідає ISO/IEC 38500:2015 Information technology — Governance of IT for the organization (Інформаційні технології. Управління IT в організації)

Ступінь відповідності — ідентичний (IDT)

Переклад з англійської (еn)

4 Цей стандарт розроблено згідно з правилами, установленими в національній стандартизації України

5 НА ЗАМІНУ ДСТУ ISO/IEC 38500:2015

ЗМІСТ

Національний вступ

Вступ до ISO/IEC 38500:2015

1 Сфера застосування

2 Терміни та визначення понять

3 Переваги кращого управління IT

4 Принципи та модель кращого управління IT

4.1 Принципи

4.2 Модель

5 Настанови для управління IT

5.1 Загальні положення

5.2 Принцип 1. Відповідальність

5.3 Принцип 2. Стратегія

5.4 Принцип 3. Придбання

5.5 Принцип 4. Результативність

5.6 Принцип 5. Відповідність

5.7 Принцип 6. Поведінка людей

Бібліографія

НАЦІОНАЛЬНИЙ ВСТУП

Цей національний стандарт ДСТУ ISO/IEC 38500:2016 (ISO/IEC 38500:2015, IDТ) «Інформаційні технології. Управління ІТ в організації», прийнятий методом перекладу, — ідентичний щодо ISO/IEC 38500:2015 (версія en) «Information technology — Governance of IT for the organization».

Технічний комітет стандартизації, відповідальний за цей стандарт в Україні, — ТК 105 «Банківські та фінансові системи і технології».

Цей стандарт прийнято на заміну ДСТУ ISO/IEC 38500:2015, прийнятого методом підтвердження.

У цьому національному стандарті зазначено вимоги, які відповідають законодавству України.

До стандарту внесено такі редакційні зміни:

— слова «цей міжнародний стандарт», «ISO/IEC 38500», «цей документ» замінено на «цей стандарт»;

— вилучено «Передмову» до ISO/IEC 38500:2015 як таку, що безпосередньо не стосується технічного змісту цього стандарту;

— структурні елементи стандарту: «Титульний аркуш», «Передмову», «Національний вступ», першу сторінку, «Терміни та визначення понять» і «Бібліографічні дані» — оформлено згідно з вимогами національної стандартизації України.

Копії нормативних документів, на які є посилання в цьому стандарті, можна отримати в Національному фонді нормативних документів.

ВСТУП до ISO/IEC 38500:2015

Ціллю цього стандарту є надання принципів, визначення та моделі для використання керівними органами щодо управління під час оцінювання, призначення та моніторингу використання інформаційних технологій (ІТ) у своїх організаціях.

Цей стандарт консультує стосовно основних принципів управління. Додатково до надання загальної настанови стосовно ролей керівних органів він заохочує організації до використання відповідних стандартів для надання принципів управління ІТ.

Більшість організацій використовує ІТ як основний бізнес-інструмент і лише невелика частина організацій може ефективно функціонувати без використання IT. ІТ також є суттєвим чинником у майбутніх бізнес-планах більшості організацій.

Видатки на ІТ можуть становити суттєву частину видатків організації від фінансових та людських ресурсів. Однак повернення цих інвестицій часто не реалізується в повному обсязі, а шкідливій вплив на організації може бути значним.

Основними причинами цих негативних наслідків є особлива увага до технічних, фінансових та програмних аспектів ІТ без уваги до бізнес-контексту в цілому стосовно використання ІТ.

Цей стандарт надає принципи, визначення та модель для кращого управління ІТ для сприяння управлінню організацій на найвищому рівні для розуміння та виконання законодавчих, регуляторних та етичних зобов’язань щодо використання ІТ в організаціях.

Цей стандарт погоджений з визначенням корпоративного управління, яке було опубліковано як Звіт Комітету з фінансових аспектів корпоративного управління (a Report of Committee on Financial Aspects of Corporate Governance (the Cadbury Report)) у 1992 році. Цей Звіт також наводить фундаментальне визначення корпоративного управління в OECD принципах корпоративного управління (OECD Principles of Corporate Governance) в 1999 році (переглянутий у 2004). Управління відрізняється від керування, і для усунення конфліктів ці дві концепції визначені в цьому стандарті та вдосконалені в ISO/IEC TR 38502.

Цей стандарт призначений в першу чергу для керівних органів. У деяких (в основному невеликих) організаціях члени керівних органів можуть бути також розпорядчими керівниками. Цей стандарт можна використовувати для всіх організацій, від невеликих до величезних, незалежно від цілей, структури та форм власності.

Впровадження управління ІТ надно в ISO/IEC TS 38501.

НАЦІОНАЛЬНИЙ СТАНДАРТ УКРАЇНИ

ІНФОРМАЦІЙНІ ТЕХНОЛОГІЇ
УПРАВЛІННЯ IT В ОРГАНІЗАЦІЇ

INFORMATION TECHNOLOGY
GOVERNANCE OF IT FOR THE ORGANIZATION

Чинний від 2017-10-01

1 СФЕРА ЗАСТОСУВАННЯ

Цей стандарт запроваджує керівні принципи для членів керівних органів організацій (які можуть охоплювати власників, директорів, партнерів, розпорядчих керівників тощо) стосовно ефективного, достатнього та прийнятного використання інформаційних технологій (IT) у їхніх організаціях.

Цей стандарт також надає настанови для тих, хто консультує, інформує чи допомагає керівним органам. Це можуть бути:

— розпорядчі керівники;

— члени груп внутрішнього моніторингу ресурсів організації;

— зовнішні бізнес- або технічні спеціалісти, такі як спеціалісти з права або спеціалісти з бухгалтерського обліку та звітності, торговельні або промислові асоціації, або професійні органи;

— внутрішні та зовнішні провайдери послуг (зокрема й консультанти);

— аудитори.

Цей стандарт застосовують для управління використанням IT зараз та в майбутньому в організації, з урахуванням процесів управління та рішення стосовно використання IT. Ці процеси можуть контролювати ІТ-спеціалісти в самій організації, зовнішні провайдери послуг або бізнес-підрозділи цієї організації.

Цей стандарт визначає управління IT як розділ або домен управління організацією, або корпорацією корпоративного управління.

Цей стандарт можуть застосовувати всі організації, охоплюючи громадські та комерційні компанії, державні агентства та неприбуткові організації. Цей стандарт можна застосовувати для організацій усіх розмірів від найменших до великих, незважаючи на ступінь їх використання IT.

Ціллю цього стандарту є заохочення ефективного, достатнього та прийнятного використання IT в усіх організаціях за допомогою:

— надання гарантій зацікавленим сторонам, що в разі виконання принципів і практик, запропонованих у цьому стандарті, вони можуть мати впевненість в управлінні IT в організації;

— інформування та спрямовування керівних органів в управлінні використанням IT в їх організації, та

— впровадження словника термінів та визначень для управління IT.

2 ТЕРМІНИ ТА ВИЗНАЧЕННЯ ПОНЯТЬ

У цьому стандарті використовують такі терміни та визначення:

2.1 прийнятний (acceptable)

Відповідність очікуванням зацікавлених сторін, яка може бути показана як обґрунтована чи заслужена