NS-ISO 38500:2008 Virksomhetens styring og kontroll av IT IKT seminar 2011-02-17 August Nilssen Prosjektleder IKT Standard Norge
NS-ISO 38500:2008 Tittel: Virksomhetens styring og kontroll av IT Corporate governance of information technology Fastsatt som Norsk Standard pr. august 2010. ISO har pr september 2010 påbegynt revisjon av standarden. Den norske oversettelsen av standarden blir ikke publisert før den reviderte ISO standarden foreligger.
Generelt Målsettingen med denne standarden er å gi et rammeverk med prinsipper som ledere kan bruke når de evaluerer, styrer og monitorerer bruken av informasjonsteknologi (IT) i virksomheten. Denne standarden gir et rammeverk for effektiv styring av IT med sikte på å hjelpe de på øverste nivå i virksomheten med å forstå og oppfylle sine juridiske, forskriftsmessige og etiske forpliktelser ved bruk av IT. Rammeverket omfatter definisjoner, prinsipper og en modell.
Generelt Standarden kan brukes av alle virksomheter, fra de aller minste til den aller største, uavhengig av mål, utforming og eierstruktur. Standarden er også ment å skulle informere og veilede de som er involvert i å utforme og iverksette et ledelsessystem som består av policyer, prosesser og strukturer som støtter virksomhetsstyringen.
Generelt Denne standarden gir veiledende prinsipper for ledere i alle typer virksomheter (inklusive eiere, styremedlemmer, ledere, partnere, toppledere eller lignende) for effektiv, målrettet og akseptabel bruk av informasjonsteknologi (IT) i sine virksomheter. Denne standarden gjelder for styring av ledelsesprosesser (og beslutninger) relatert til informasjons- og kommunikasjonstjenester som brukes i en virksomhet. Disse prosessene kan bli kontrollert av interne IT-spesialister eller eksterne tjenesteleverandører, eller av forretningsenheter i virksomheten.
Generelt Denne standarden fastsetter prinsipper for effektiv, målrettet og akseptabel bruk av IT. Ved at virksomhetene følger disse prinsippene, vil dette bistå ledere i å balansere risikoer, samt stimulere muligheter som forekommer gjennom bruken av IT. Denne standarden fastsetter en modell for styring av IT. Faren for at ledere ikke overholder sine forpliktelser reduseres gjennom å følge modellen og bruke prinsippene på riktig måte. Denne standarden etablerer et begrepsapparat for styring av IT
Definisjoner, eksempler fra standarden 1.6.2 Virksomhetsstyring Det regimet som virksomheter styres og kontrolleres ut fra. 1.6.3 Virksomhetsstyring av IT Det regimet som den nåværende og framtidige bruken av IT er styrt og kontrollert etter. Overordnet styring av IT innebærer å evaluere og styre bruk av IT for å støtte virksomheten, samt å overvåke bruken for å gjennomføre realiseringen av planer. Dette inkluderer strategi og policy for bruk av IT i organisasjonen.
Definisjoner, eksempler 1.6.5 Leder Medlem av styrende organer i en virksomhet. Inkluderer eiere, styremedlemmer, partnere, toppledere eller lignende, samt tjenestepersonell som er autorisert gjennom lovgivning eller forskrifter (ref. nasjonalt forord). 1.6.9 Ledelse Regimet av kontroller og prosesser som er nødvendig, for å oppnå de strategiske målene som virksomhetens styrende organer har fastsatt. Ledelse er underlagt policy og føringer gitt gjennom kravene til virksomhetsstyring.
RAMMEVERK FOR GOD VIRKSOMHETSSTYRING AV IT 2.1 Prinsipper Dette avsnittet angir seks prinsipper for god virksomhetsstyring av IT
Ansvar 2.1.1 Prinsipp 1: Ansvar Enkeltpersoner og grupper i virksomheten forstår og aksepterer sitt ansvar når det gjelder både tilbud av og etterspørsel etter IT De som har handlingsansvar skal også ha myndighet til å utføre disse handlingene.
Strategi 2.1.2 Prinsipp 2: Strategi Virksomhetens forretningsstrategi tar hensyn til mulighetene ved nåværende og framtidig IT, og de strategiske planene for IT tilfredsstiller de nåværende og framtidige behovene i forretningsstrategien.
Anskaffelser 2.1.3 Prinsipp 3: Anskaffelser Anskaffelse av IT gjøres med utgangspunkt i en hensiktsmessig og fortløpende analyse, og med klar og åpen beslutningstaking. Det er en hensiktsmessig balanse mellom fordelene, mulighetene, kostnadene og risikoene, både på kort og på lang sikt.
Leveranse 2.1.4 Prinsipp 4: Leveranse IT er formålstjenlig når det gjelder å støtte virksomheten, ved å levere de tjenestene og tjenestenivåene og den tjenestekvaliteten som kreves for å imøtekomme nåværende og framtidige forretningsbehov.
Etterlevelse 2.1.5 Prinsipp 5: Etterlevelse IT overholder all lovgivning og forskrifter. Policyer og praksis er klart definert, implementert og håndhevet.
Menneskelig atferd 2.1.6 Prinsipp 6: Menneskelig atferd IT-policyer, -praksis og -beslutninger må ta hensyn til menneskelig atferd og behov, inklusive nåværende og framtidige behov til menneskene i prosessen
Styringsmodell 2.2 Styringsmodell Virksomhetens ledelse bør styre og kontrollere IT basert på tre hovedoppgaver: a) evaluere den nåværende og framtidige bruken av IT b) styre utarbeidelse og implementering av planer og policyer og sørge for at bruken av IT oppfyller forretningsmessige mål c) overvåke etterlevelse av policyer, og leveranse i henhold til planene
Styringsmodell
VEILEDNING FOR VIRKSOMHETSSTYRING AV IT 3.2 Prinsipp 1: Ansvar Evaluere Styre Overvåke
NS-ISO 38500:2008 Kjøpes hos Standard Online www.standard.no Norsk tittel, engelsk tekst. For mer informasjon om innhold: Kontakt: August Nilssen/Standard Norge ani@standard.no Mobil: 90140566