Definición y propósito

El propósito de ISO/IEC 38500 es proporcionar principios, definiciones y un modelo para que los órganos de gobierno los utilicen al evaluar, dirigir y monitorear el uso de TI en sus organizaciones. Está diseñado para ayudar a las organizaciones a asegurar que sus recursos de TI se utilicen de manera responsable, eficiente, efectiva y alineada con los objetivos empresariales.

Órgano de Gobierno

La norma es desarrollada y publicada por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC).

Última actualización

Inicialmente publicada como ISO/IEC 38500:2008, la norma fue retirada y reemplazada por ISO/IEC 38500:2015. Será revisada por ISO/IEC 38500, actualmente en desarrollo.

Aplica a

ISO/IEC 38500 es aplicable a organizaciones de todos los tamaños, incluidas empresas públicas y privadas, entidades gubernamentales y organizaciones sin fines de lucro. Es relevante para todas las industrias que usan TI como parte de sus operaciones.

Controles y requisitos

ISO/IEC 38500 detalla seis principios para una buena gobernanza corporativa de TI:

• Responsabilidad: Las personas y los grupos dentro de la organización comprenden y aceptan sus responsabilidades con respecto tanto a la oferta como a la demanda de TI.
• Estrategia: La estrategia empresarial de la organización tiene en cuenta las capacidades actuales y futuras de TI; los planes estratégicos para TI satisfacen las necesidades actuales y continuas de la organización.
• Adquisición: Las adquisiciones de TI se realizan por razones válidas, sobre la base de un análisis apropiado y continuo, con toma de decisiones clara y transparente.
• Desempeño: TI es adecuada para su propósito; se lleva a cabo un monitoreo y evaluación continua del desempeño de TI.
• Conformidad: TI cumple con toda la legislación y regulaciones obligatorias. Las políticas y prácticas están claramente definidas, implementadas y aplicadas.
• Comportamiento Humano: Las políticas, prácticas y decisiones de TI demuestran respeto por el comportamiento humano, incluidas las necesidades actuales y en evolución de todas las personas en el proceso.

Consulte la documentación oficial de ISO/IEC 38500:2015 para obtener detalles sobre controles y requisitos.

Tipo de auditoría, frecuencia y duración

Las auditorías generalmente implican una evaluación de las prácticas de gobernanza de TI de la organización en relación con los estándares ISO/IEC 38500. Esto puede realizarse internamente o por auditores externos. La frecuencia de las auditorías puede variar según el tamaño, la complejidad y la naturaleza de las operaciones de TI de la organización. Sin embargo, se recomiendan revisiones regulares para garantizar el cumplimiento continuo y la efectividad.

La duración de la auditoría depende del alcance de la auditoría y del tamaño y la complejidad de las prácticas de gobernanza de TI de la organización.