ISO/IEC 38500
ISO/IEC 38500 es una norma internacional que proporciona un marco para la gobernanza corporativa efectiva de la tecnología de la información (TI). Su objetivo es ayudar a las organizaciones a comprender y cumplir con sus obligaciones legales, reglamentarias y éticas en relación con el uso de su TI.
Solicitar una demostración de los Marcos Personalizados de SecureframeDefinición y propósito
El propósito de ISO/IEC 38500 es proporcionar principios, definiciones y un modelo para que los órganos de gobierno los utilicen al evaluar, dirigir y monitorear el uso de TI en sus organizaciones. Está diseñado para ayudar a las organizaciones a asegurar que sus recursos de TI se utilicen de manera responsable, eficiente, efectiva y alineada con los objetivos empresariales.
Órgano de Gobierno
La norma es desarrollada y publicada por la Organización Internacional de Normalización (ISO) y la Comisión Electrotécnica Internacional (IEC).
Última actualización
Inicialmente publicada como ISO/IEC 38500:2008, la norma fue retirada y reemplazada por ISO/IEC 38500:2015. Será revisada por ISO/IEC 38500, actualmente en desarrollo.
Aplica a
ISO/IEC 38500 es aplicable a organizaciones de todos los tamaños, incluidas empresas públicas y privadas, entidades gubernamentales y organizaciones sin fines de lucro. Es relevante para todas las industrias que usan TI como parte de sus operaciones.
Controles y requisitos
ISO/IEC 38500 detalla seis principios para una buena gobernanza corporativa de TI:
- Responsabilidad: Las personas y los grupos dentro de la organización comprenden y aceptan sus responsabilidades con respecto tanto a la oferta como a la demanda de TI.
- Estrategia: La estrategia empresarial de la organización tiene en cuenta las capacidades actuales y futuras de TI; los planes estratégicos para TI satisfacen las necesidades actuales y continuas de la organización.
- Adquisición: Las adquisiciones de TI se realizan por razones válidas, sobre la base de un análisis apropiado y continuo, con toma de decisiones clara y transparente.
- Desempeño: TI es adecuada para su propósito; se lleva a cabo un monitoreo y evaluación continua del desempeño de TI.
- Conformidad: TI cumple con toda la legislación y regulaciones obligatorias. Las políticas y prácticas están claramente definidas, implementadas y aplicadas.
- Comportamiento Humano: Las políticas, prácticas y decisiones de TI demuestran respeto por el comportamiento humano, incluidas las necesidades actuales y en evolución de todas las personas en el proceso.
Consulte la documentación oficial de ISO/IEC 38500:2015 para obtener detalles sobre controles y requisitos.
Tipo de auditoría, frecuencia y duración
Las auditorías generalmente implican una evaluación de las prácticas de gobernanza de TI de la organización en relación con los estándares ISO/IEC 38500. Esto puede realizarse internamente o por auditores externos. La frecuencia de las auditorías puede variar según el tamaño, la complejidad y la naturaleza de las operaciones de TI de la organización. Sin embargo, se recomiendan revisiones regulares para garantizar el cumplimiento continuo y la efectividad.
La duración de la auditoría depende del alcance de la auditoría y del tamaño y la complejidad de las prácticas de gobernanza de TI de la organización.