ns-iso 38500 virksomhetens styring og kontrollav it - ns-iso 38500.pdf · ns-iso 38500:2008 tittel:...

NS-ISO 38500:2008 Virksomhetens styring og kontroll

av ITIKT seminar 2011-02-17

August Nilssen Prosjektleder IKT Standard Norge

NS-ISO 38500:2008

Tittel:Virksomhetens styring og kontroll av ITCorporate governance of information technology

Fastsatt som Norsk Standard pr. august 2010.

ISO har pr september 2010 påbegynt revisjon av standarden. Den norske oversettelsen av standarden blir ikke publisert før den reviderte ISO standarden foreligger.

Generelt

• Målsettingen med denne standarden er å gi et rammeverk med prinsipper som ledere kan bruke når de evaluerer, styrer og monitorerer bruken av informasjonsteknologi (IT) i virksomheten.

• Denne standarden gir et rammeverk for effektiv styring av IT med sikte på å hjelpe de på øverste nivå i virksomheten med å forstå og oppfylle sine juridiske, forskriftsmessige og etiske forpliktelser ved bruk av IT. Rammeverket omfatter definisjoner, prinsipper og en modell.

Generelt

• Standarden kan brukes av alle virksomheter, fra de aller minste til den aller største, uavhengig av mål, utforming og eierstruktur.

• Standarden er også ment å skulle informere og veilede de som er involvert i å utforme og iverksette et ledelsessystem som består av policyer, prosesser og strukturer som støtter virksomhetsstyringen.

Generelt

• Denne standarden gir veiledende prinsipper for ledere i alle typer virksomheter (inklusive eiere, styremedlemmer, ledere, partnere, toppledere eller lignende) for effektiv, målrettet og akseptabel bruk av informasjonsteknologi (IT) i sine virksomheter.

• Denne standarden gjelder for styring av ledelsesprosesser (og beslutninger) relatert til informasjons- og kommunikasjonstjenester som brukes i en virksomhet. Disse prosessene kan bli kontrollert av interne IT-spesialister eller eksterne tjenesteleverandører, eller av forretningsenheter i virksomheten.

Generelt

• Denne standarden fastsetter prinsipper for effektiv, målrettet og akseptabel bruk av IT. Ved at virksomhetene følger disse prinsippene, vil dette bistå ledere i å balansere risikoer, samt stimulere muligheter som forekommer gjennom bruken av IT.

• Denne standarden fastsetter en modell for styring av IT. Faren for at ledere ikke overholder sine forpliktelser reduseres gjennom å følge modellen og bruke prinsippene på riktig måte.

• Denne standarden etablerer et begrepsapparat for styring av IT

Definisjoner, eksempler fra standarden• 1.6.2 Virksomhetsstyring

Det regimet som virksomheter styres og kontrolleres ut fra.

• 1.6.3 Virksomhetsstyring av ITDet regimet som den nåværende og framtidige bruken av IT er styrt og kontrollert etter.Overordnet styring av IT innebærer å evaluere og styre bruk av IT for å støtte virksomheten, samt å overvåke bruken for å gjennomføre realiseringen av planer. Dette inkluderer strategi og policy for bruk av IT i organisasjonen.

Definisjoner, eksempler

• 1.6.5 Leder • Medlem av styrende organer i en virksomhet.

Inkluderer eiere, styremedlemmer, partnere, toppledere eller lignende, samt tjenestepersonell som er autorisert gjennom lovgivning eller forskrifter (ref. nasjonalt forord).

• 1.6.9 Ledelse• Regimet av kontroller og prosesser som er nødvendig,

for å oppnå de strategiske målene som virksomhetens styrende organer har fastsatt. Ledelse er underlagt policy og føringer gitt gjennom kravene til virksomhetsstyring.

RAMMEVERK FOR GOD VIRKSOMHETSSTYRING AV IT

• 2.1 Prinsipper Dette avsnittet angir seks prinsipper for god virksomhetsstyring av IT

Ansvar

• 2.1.1 Prinsipp 1: AnsvarEnkeltpersoner og grupper i virksomheten forstår og aksepterer sitt ansvar når det gjelder både tilbud av og etterspørsel etter IT De som har handlingsansvar skal også ha myndighet til å utføre disse handlingene.

Strategi

• 2.1.2 Prinsipp 2: StrategiVirksomhetens forretningsstrategi tar hensyn til mulighetene ved nåværende og framtidig IT, og de strategiske planene for IT tilfredsstiller de nåværende og framtidige behovene i forretningsstrategien.

Anskaffelser

• 2.1.3 Prinsipp 3: AnskaffelserAnskaffelse av IT gjøres med utgangspunkt i en hensiktsmessig og fortløpende analyse, og med klar og åpen beslutningstaking. Det er en hensiktsmessig balanse mellom fordelene, mulighetene, kostnadene og risikoene, både på kort og på lang sikt.

Leveranse

• 2.1.4 Prinsipp 4: LeveranseIT er formålstjenlig når det gjelder å støtte virksomheten, ved å levere de tjenestene og tjenestenivåene og den tjenestekvaliteten som kreves for å imøtekomme nåværende og framtidige forretningsbehov.

Etterlevelse

• 2.1.5 Prinsipp 5: Etterlevelse IT overholder all lovgivning og forskrifter. Policyer og praksis er klart definert, implementert og håndhevet.

Menneskelig atferd

• 2.1.6 Prinsipp 6: Menneskelig atferdIT-policyer, -praksis og -beslutninger må ta hensyn til menneskelig atferd og behov, inklusive nåværende og framtidige behov til menneskene i prosessen

Styringsmodell

• 2.2 StyringsmodellVirksomhetens ledelse bør styre og kontrollere IT basert på tre hovedoppgaver:a) evaluere den nåværende og framtidige bruken av IT b) styre utarbeidelse og implementering av planer og policyer og sørge for at bruken av IT oppfyller forretningsmessige målc) overvåke etterlevelse av policyer, og leveranse i henhold til planene

Styringsmodell

VEILEDNING FOR VIRKSOMHETSSTYRING AV IT

• 3.2 Prinsipp 1: Ansvar• Evaluere• Styre• Overvåke

NS-ISO 38500:2008

• Kjøpes hos Standard Online• www.standard.no• Norsk tittel, engelsk tekst.• For mer informasjon om innhold:• Kontakt: August Nilssen/Standard Norge

ani@standard.no• Mobil: 90140566