Definition und Zweck

Der Zweck von ISO/IEC 38500 besteht darin, Prinzipien, Definitionen und ein Modell für Leitungsgremien bereitzustellen, die bei der Bewertung, Steuerung und Überwachung der IT-Nutzung in ihren Organisationen verwendet werden können. Es soll Organisationen dabei helfen, sicherzustellen, dass ihre IT-Ressourcen verantwortungsvoll, effizient und effektiv genutzt werden und mit den Unternehmenszielen in Einklang stehen.

Leitungsgremium

Der Standard wird von der Internationalen Organisation für Normung (ISO) und der Internationalen Elektrotechnischen Kommission (IEC) entwickelt und veröffentlicht.

Zuletzt aktualisiert

Ursprünglich als ISO/IEC 38500:2008 veröffentlicht, wurde die Norm zurückgezogen und durch ISO/IEC 38500:2015 ersetzt. Sie wird derzeit durch ISO/IEC 38500 überarbeitet, die sich derzeit in der Entwicklung befindet.

Geltungsbereich

ISO/IEC 38500 ist auf Organisationen jeder Größe anwendbar, einschließlich öffentlicher und privater Unternehmen, staatlicher Einrichtungen und gemeinnütziger Organisationen. Sie ist für alle Branchen relevant, die IT als Teil ihrer Betriebsabläufe nutzen.

Kontrollen und Anforderungen

ISO/IEC 38500 skizziert sechs Prinzipien für eine gute Unternehmensführung von IT:

• Verantwortung: Einzelpersonen und Gruppen innerhalb der Organisation verstehen und akzeptieren ihre Verantwortung sowohl in Bezug auf das Angebot als auch die Nachfrage nach IT.
• Strategie: Die Geschäftsstrategie der Organisation berücksichtigt die aktuellen und zukünftigen Fähigkeiten der IT; die strategischen Pläne für die IT erfüllen die aktuellen und laufenden Bedürfnisse der Organisation.
• Anschaffung: IT-Anschaffungen erfolgen aus validen Gründen, auf Grundlage einer angemessenen und fortlaufenden Analyse, mit klaren und transparenten Entscheidungsprozessen.
• Leistung: IT ist zweckmäßig; eine fortlaufende Überwachung und Bewertung der IT-Leistung wird durchgeführt.
• Einhaltung: IT entspricht allen obligatorischen Gesetzen und Vorschriften. Richtlinien und Praktiken sind klar definiert, implementiert und durchgesetzt.
• Menschliches Verhalten: IT-Richtlinien, -Praktiken und -Entscheidungen zeigen Respekt für menschliches Verhalten, einschließlich der aktuellen und sich entwickelnden Bedürfnisse aller am Prozess beteiligten Personen.

Bitte beziehen Sie sich auf die offizielle ISO/IEC 38500:2015 Dokumentation für Details zu Kontrollen und Anforderungen.

Audittyp, Häufigkeit und Dauer

Audits typically involve an assessment of the organization's IT governance practices in relation to ISO/IEC 38500 standards. This can be conducted internally or by external auditors. The frequency of audits can vary based on the organization's size, complexity, and the nature of its IT operations. However, regular reviews are recommended to ensure ongoing compliance and effectiveness.

The duration of the audit depends on the scope of the audit and the size and complexity of the organization's IT governance practices.