Définition et objectif

L'objectif de l'ISO/IEC 38500 est de fournir des principes, des définitions et un modèle pour les organismes de gouvernance à utiliser lors de l'évaluation, de l'orientation et de la surveillance de l'utilisation des TI dans leurs organisations. Elle est conçue pour aider les organisations à garantir que leurs ressources TI sont utilisées de manière responsable, efficiente, efficace et alignée sur les objectifs commerciaux.

Organe de gouvernance

La norme est développée et publiée par l'Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (CEI).

Dernière mise à jour

Initialement publiée sous le nom de ISO/IEC 38500:2008, la norme a été retirée et remplacée par ISO/IEC 38500:2015. Elle sera révisée par ISO/IEC 38500, actuellement en cours de développement.

Applicable à

L'ISO/IEC 38500 est applicable aux organisations de toutes tailles, y compris les entreprises publiques et privées, les entités gouvernementales et les organisations à but non lucratif. Elle est pertinente pour toutes les industries qui utilisent les TI dans le cadre de leurs opérations.

Contrôles et exigences

L'ISO/IEC 38500 expose six principes pour une bonne gouvernance des TI:

• Responsabilité: Les individus et les groupes au sein de l'organisation comprennent et acceptent leurs responsabilités en ce qui concerne à la fois la fourniture et la demande de TI.
• Stratégie: La stratégie commerciale de l'organisation prend en compte les capacités actuelles et futures des TI ; les plans stratégiques pour les TI satisfont les besoins actuels et continus de l'organisation.
• Acquisition: Les acquisitions de TI sont faites pour des raisons valables, sur la base d'une analyse appropriée et continue, avec une prise de décision claire et transparente.
• Performance: Les TI sont adaptées à leur objectif; une surveillance et une évaluation continues de la performance des TI sont effectuées.
• Conformité: Les TI sont conformes à toutes les législations et réglementations obligatoires. Les politiques et pratiques sont clairement définies, mises en œuvre et appliquées.
• Comportement Humain: Les politiques, pratiques et décisions en matière de TI démontrent le respect du comportement humain, y compris les besoins actuels et évolutifs de toutes les personnes impliquées dans le processus.

Veuillez vous référer à la documentation officielle ISO/IEC 38500:2015 pour des détails sur les contrôles et exigences.

Type, fréquence et durée des audits

Les audits impliquent généralement une évaluation des pratiques de gouvernance informatique de l'organisation par rapport aux normes ISO/IEC 38500. Cela peut être réalisé en interne ou par des auditeurs externes. La fréquence des audits peut varier en fonction de la taille de l'organisation, de sa complexité et de la nature de ses opérations informatiques. Cependant, des examens réguliers sont recommandés pour garantir une conformité et une efficacité continues.

La durée de l'audit dépend de la portée de l'audit et de la taille et de la complexité des pratiques de gouvernance informatique de l'organisation.