IT治理国际标准ISO38500(精选3篇)
IT治理国际标准ISO38500 第1篇
IT治理国际标准ISO 38500简介 信息技术的迅速发展,推动全球进入了知识经济时代,这个时代的显著特征之一是把计算机网络通讯技术融入组织业务创新领域,尤其是组织业务系统已迈向经营业务 电子化发展轨道,从业务流程的电子化到服务渠道的网络化,从客户资源的系统化到决策支持的智能化,信息技术正逐步改变着传统组织的运营模式。随着IT组织 对IT依赖程度的加重,新的风险也随之而来。
新技术蓬勃发展的起初几年,企业的失败和相关的财务损失使得 投资者和监管者变得谨慎,并要求更高级别的信息披露与说明程度。大规模的外包证明服务提供商的利益并不是总与用户一致的。一些IT管理的失败不仅仅浪费了 组织的战略机遇,甚至还导致了法律争议。究其失败原因,发现多是由于较差的企业治理、风险管理职责分配不清以及从IT投资中获取利益和价值方面缺乏指导造 成的,因此,IT治理变得越来越重要,它指的不仅仅是制度、流程、合规性,还包括更广泛的含义,其关键内容是一套科学的发展能力。可以说如果存在良好的 IT治理机制,IT发挥的价值会更大,与企业战略充分融合,不断提升企业的核心竞争力,反之亦然。
ISO 38500:2008 是第一个IT 治理国际标准,它的出台不仅标志着IT 治理从概念模糊的探讨阶段进入了一个正确认识的发展阶段,而且也标志着信息化正式进入IT 治理时代。这一标准将促使国内外一直争论不休的IT治理理论得到统一,也会促使我国在引导信息化科学方面发挥重要作用,本文扼要介绍了标准的内容、目标、受众人群与应用要领,及与CobiT 的区别,供大家参考。
一、标准概览 1、名称 ISO/IEC 38500:2008 corporate governance of information technology-信息技术的组织治理-(以下称IT治理),利用了大量的资源,但主要衍生于AS8015。
ISO/IEC 29382,信息和通讯技术治理标准,作为现有澳大利亚标准AS8015的快速跟随者,于2007年首次发布。2008年4月该标准官方正式更名为 ISO/IEC 38500,原ISO/IEC 29382放弃使用。ISO/IEC 38500:2008的购买价格是84法郎。
2、发行者 ISO(国际标准化组织)和 IEC(国际电工委员会)是世界范围的标准化组织。各国的相关标准化组织都是其成员,并通过各种技术委员会参与相关标 准的制定。其他国际组织,政府机构及非政府机构也协同工作。国际标准的草案,须能得到所有会员75%以上的赞成票,该标准才可被公布为国际标准。在信息技 术领域,ISO和IEC成立了一个联合技术委员会ISO/IEC JTC 1。该委员会以澳大利亚标准AS8015为蓝本,并结合AS 8000:2003 – 良好的治理原则和AS 3806:2006 – 合规性程序,制定了IT治理的国际标准ISO/IEC 38500:2008。
3、标准发布的目标 ·确保利益相关者对于组织IT治理的信心 ·指导管理者治理组织的IT使用 ·为IT治理的目标评估提供了基础 4、目标读者 ·高级管理者 ·组织中的资源监控团队成员 ·外部的业务或技术专家,包括法律或财务专家、行业协会及专业团体 ·硬件、软件、通讯及其他IT产品的厂商 ·内部或外部的服务提供者(包括咨询顾问)·IT审计师 5、适用范围 ISO/IEC 38500:2008可以用于任何规模的组织,包括公/私有性质的公司,政府机构以及非营利组织。这一标准提供了一个IT治理的框架,以协助组织高层管理者理解并履行他们对于其组织IT使用的既定职责,实现IT治理的有效性、可用性及效率。
6、认证 ·目前还没有相关的认证(对个人和组织)。
二、主要内容 1、主要内容:
·范围、应用与目标 ·良好的IT治理框架 ·IT治理指南 2、指导准则:
·职责分工 ·IT支持组织发展 ·可获得性 ·可用性 ·合规性 ·尊重人性因素(以人为本)准则一:职责分工 ·对分配职责进行评价 ·确保能够胜任所分配的职责 ·监控所分配职责的实施 为IT分配职责的方式取决于组织所使用的业务模式和组织架构。例如:有些设备需要内部管理;
建议来自于外部的咨询顾问;
还有一些IT来源于厂商与专业服务提供商。
准则二:IT支持组织发展 ·考虑机遇使IT更好的服务于业务发展 ·分配其当下的活动 ·指导计划的实施与发展以弥补差距 近几年来,IT相关设备的发展日新月异,逐渐向小型化、低廉化发展。互联网制定的一系列标准使得不同厂商的设备兼容性与内部可操作性越来越强。这提高了各 厂商之间的竞争,也为更广阔的市场创造了新的业务机遇。与此同时,业务实践也有了发展。早期的措施现在往往会导致浪费,极少业务利润,还影响新市场的开 拓。预期客户采用新系统的实践越来越长,例如:联网银行间AMT的切换不能瞬间完成。
准则三:可获得性 这一准则覆盖了风险与价值的规划分配和近期的IT投资。管理者需要履行政策与程序来确保投资的安全性。投资案例中的资源分配必须确保以及时的形式重新分配。
准则四:可用性 IT实施包括信息整合、系统能力,它还拓展了退出与处理,以确保组织的环境和数据管理职责得以履行。
准则五:合规性 这一准则覆盖了所有的内部政策,包括:技术使用(包括:电子邮件与搜索引擎)、职责履行(记录保持、财务报表、关于组织与业务持续性隐私信息的保护)准则六:尊重人性因素 其中IT的人性因素包括:
·用户界面的可用性与友好性 ·人们受到IT所带来的业务流程改变的影响的需求 由于IT会直接而迅速的影响组织的实施,管理者应当像管理其财务与人力资源那样,指挥、评价与监控其组织的IT应用。
三、治理机制 关于IT,管理者有三项主要活动,即:指导、评价与监控。有效地IT治理应当是可实施的、具有一致性的。DEM模型聚焦于更广泛层次上的IT治理,它略微 不同于管理者典型使用的PDCA模型。在这一模型中,管理者依据业务压力与业务需求来监控(Monitor)并评价(Evaluate)组织的IT使用,而后指导(Direct)实施政策方针以弥补差距。该模型如下图所示:
四、与CobiT 的区别 ISO/IEC 38500:2008 CobiT 分类 国际标准 非国际标准,一套行为指南 发布者 国际标准化组织 国际信息系统控制与审计协会(美国)最新版本 ISO/IEC 38500:2008 CobiT 4.1 发布时间 2008.06 2007.01 特点 指导、评价与监控 基于控制、面向业务、流程导向、度量驱动 认证 目前还没有认证 只有CobiT Foundation 认证 侧重点 有效的IT治理范围、技术与业务沟通的相关术语表 信息化全生命周期管理 主要用途 IT治理的测评 IT风险管理与内控 五、ITGov 观点 1、这是第一个IT治理国际标准 2、这个标准简短的、易读,但相关概念十分复杂。
3、为IT治理提供了一个有效的、易实施的、高效的框架,更好的将组织决策与IT联系起来 4、该标准中的建议与指南适用于任何形式规模的组织 5、该标准中的建议与指南不仅供管理者使用,还可面向其下属职员,组织中各个层面的人都能读懂 6、该标准为所有关键员工提供了合适的IT治理基本指南 7、该标准介绍了好的治理所需要的一些特征及治理流程,但是离真正的实施还有距离,需要其他标准的补充
IT治理国际标准ISO38500 第2篇
《信息技术与标准化》(以下简称《信》):非常高兴您能在百忙之中接受我刊专访。目前IT治理得到全球越来越多的关注,请您简要介绍一下IT治理全球产业的现状?
Brown先生:IT治理在不同的国家,以多元化形式对不同的组织和行业持续产生着影响。因此,很难界定“现状”这个概念。然而,还是有一些全球性的趋势我们可以把握:在不同的环境下,IT治理的价值受到了越来越多的关注。各国政府对云平台上不受他们完全控制和管辖的敏感数据表达了密切关注或保留意见。私营企业也非常担心大数据——通常是代表客户或第三方的个人数据或敏感数据相关的隐私和安全风险。每个人都十分关注数据泄露(不管是否由意外因素造成)、网络脆弱性、信息安全等带来的影响。这些领域都要求被给予更加具体的关注和指导,从治理的角度而言,也就是需要一个更加政策和价值导向的方法,来对信息技术的收益和风险进行评估。
《信》:国际标准在IT治理中发挥怎样的作用?
Brown先生:目前国际上仅有很少的几项标准是明确面向IT治理的,也就是我所在的工作组负责的ISO 38500系列标准。然而,还是有许多标准对IT治理提供了有益的指导,尤其是在当今“IT管理”和“IT治理”的区别越来越明显的情况下。
《信》:WG1目前开展了哪些工作?在IT治理标准化方面,WG1是否制定了长期规划或目标?
Brown先生:WG1一直负责IT治理三个现有标准的维护和更新,这三个标准为IT治理提供了核心原则和框架,而且WG1正在IT治理这个宽泛的领域内推进更多具体议题的工作。
目前,最大的一项工作是数据治理,尤其是组织如何在数据收集、存储、处理、分享和删除过程中保障数据的价值并规避数据相关的风险,以及如何建立起与政府相一致的数据政策。
WG1的使命是提高人们对IT管理和IT治理区别的认识。这两个概念区别非常明显,尤其是在说英语的国家中更是如此。“管理”和“治理”各自要求的研究路径、原则和技术大不相同。基于这个核心使命,WG1的长期目标是在信息技术越来越重要、移动计算设备越来越流行的云计算、智慧城市、物联网等领域中提出治理的问题。
《信》:在标准制定过程中,WG1是否需要与其他国际标准化组织沟通或协调?目前是否已经建立了相关的沟通机制?
Brown先生:很多IT治理领域涉及的技术都已经很成熟,并且被人们所熟知。然而,使用这些技术的治理内涵还不是十分明确。因此,WG1希望与其他标准化机构、以及ISO/IEC JTC1下设的其他分委会进行合作(这也是WG1长期规划的一部分),共同探索各领域中的治理内涵。我们也将通过SC40开展一些推动IT治理标准应用的活动,例如今年5月在中国苏州召开的SC40全会期间由中国国家标准化机构举办的“IT治理国际标准化高峰论坛”。
《信》:IT治理标准目前的应用领域有哪些?未来SC40将怎样推动标准的应用落地?
Brown先生:请参见第三个问题的回答!(记者注:目前,从国际上而言,国外专家更多的是关注标准本身,Brown先生所在的ISO/IEC JTC1/SC40/WG1的重点工作也是进行ISO 38500系列标准的研制,他们并未关注IT治理在具体行业的应用。而在中国,IT治理已经在轨道交通、互联网金融、证券期货等行业进行了应用(本刊2016年第7期“IT治理应用专题”进行了详细介绍),并将不断地开展推广活动。“IT治理国际标准化高峰论坛”上,国外专家对中国IT治理的应用很感兴趣,并表示希望与中国专家加强交流沟通,探索IT治理在国外的应用。)
《信》:此次SC40全会,在IT治理方面,让您感受最深的技术发展方向是什么?未来SC40将在哪些方面做出改变以适应技术发展变化?
Brown先生:让我感受最深的技术发展方向是数据治理标准化工作。中国国家标准化机构提名的专家们在数据治理国际标准项目确定之初就已经参与了相关工作,他们做出的贡献也在项目进展的过程中更好地“塑造”了这项工作。此外,中国还将主导这项系列标准中一个重要的部分,也就是在ISO/IEC 38505-2中明确治理和管理“接口”(interface)的重要问题。
《信》:您对中国更好地参与WG1的工作有何建议?
Brown先生:这个问题真的很难回答,因为中国的参与工作已经非常不错。中国专家们对世界其他国家许多不同的治理研究方法表现出了耐心和理解。中国专家的贡献和见解非常宝贵,并且他们对国际标准化研究方法的认可也促进了各个国家在可能的最高层面上达成共识。
IT治理国际标准ISO38500 第3篇
1 华仪集团建立ISO 9001党建质量管理体系的背景
华仪集团创始于1986年,现已成为一家由11家核心子公司、100多家成员企业组成的,以风力发电、高压电器为核心,涉足低压电器、房地产、化工、第三产业等跨行业、跨地区的企业集团,是乐清市第一家上市公司。该集团于1997年建立党组织,2002年11月成立党委,现已发展到9个党支部,150余名党员,其中27名党员担任公司中层以上领导职务,5名党员进入集团领导班子。19861997年是华仪集团的奠基阶段,1998年开始华仪集团进入飞速发展阶段。在企业快速发展的同时,华仪集团的党建工作也有了很大的发展,但是同时也遇到了许多非公有制企业党建发展中难以避免的共同问题,比如企业党建与企业经济发展不成正比,如何保障企业党建工作常态化、稳定化,如何解决非公有制企业党员数量少、流动性大、影响力不足等。其中最重要的也是必须要解决的一个问题就是,华仪集团党建的地位和作用到底是什么?经过反复研究并根据上级有关文件的精神,华仪集团琢磨出非公有制企业的党建就是为企业发展服务,为员工服务。用华仪集团当时的党委书记的话来说,“既然是服务,就要考虑到量的分析,就有标准化的问题,我们企业一直搞标准化,对产品的ISO 9001我们比较熟悉,为什么我们不能把ISO 9001体系引入到党建上来”。于是,在乐清市委组织部的指导下,2003年6月华仪集团党委开始制订党建质量管理体系标准,将ISO9001标准的先进管理理念和管理方法与党建工作自身特点和优良管理传统相结合,建立了保证党建工作质量的管理体系,并于当2003年12月9日通过了中国质量认证中心的现场审核,获得了首张民营企业党建质量管理体系认证证书。至此,华仪集团的党建工作开始逐步实现工作标准化、考核经常化、操作程序化和管理规范化。
2 华仪集团ISO 9001党建质量管理体系的内容
华仪集团ISO 9001党建质量管理体系的主要内容包括以下几个方面。
(1)明确企业党建的“三定位”。党建工作定位准确了,党建工作就有了“指挥棒”,大家才能心朝一处想,劲朝一处使。非公有制企业党建工作的关键在于作用发挥,华仪集团党委围绕作用发挥的要求,并为了防止党建工作出现盲目性和随意性,经过反复讨论、不断实践以及持续改进,对华仪集团党建工作的目标、方针、内容进行了明确的“三定位”。首先,确定华仪集团党建工作的总目标是“构建活力和谐企业”;党建工作的质量目标是企业经济效益好、人才队伍培育好、企业文化氛围好、安全生产管理好、职工利益维护好、合作竞争环境好、社会责任履行好等7项。在实施中,将党建工作目标量化、细化,自上而下层层分解,层层落实,保证党建工作目标的实现和持续改进,有效发挥党组织作用,促进企业的健康发展。其次,确定华仪集团党建工作的指导方针是以目标同向、工作同力、发展同步的“三同方针”。再次,在党建工作内容上提出紧紧围绕服务企业、服务员工、服务党员、服务社会的“四个服务”。最终,华仪集团的党建工作要求达到处处体现员工满意、企业满意、社会满意的“三方满意”的效果。
(2)从“做”开始,落在实处。华仪集团的ISO 9001党建质量管理体系将每项党建工作分解为“五个做”,即“做什么、为什么做、谁来做、何时做、怎么做和做到什么程度”。只要“五个做”弄清楚了,做到了,那么工作就能做成。华仪集团党委按照“五个做”的要求,编制了党建《质量手册》《程序文件》《作业文件》3本手册,以及党建质量方针和质量目标,把党建工作细化成一项项步骤,把党建责任落实到一个个人或部门,做到凡事有人负责、凡事有人监督、凡事都有记录。
(3)以“顾客”为关注焦点,树立服务理念。产品是为了满足顾客的需求,华仪集团党委把上级党组织、集团公司各部门、员工作为党建服务的“顾客”,并坚持“顾客第一”的服务理念,将上级党组织的期望和集团公司及员工的利益有机地统一起来。通过内部审核、管理评审、群众满意度调查等渠道,在实践中注重对顾客要求的识别和顾客满意度的调查、分析、处理,进行顾客要求识别和顾客满意度调查、分析、处理,做到持续改进党建工作,体现了ISO 9000“以顾客为关注焦点”的原则,提高党建工作的针对性。10多年来,华仪集团党委坚持每月召开一次支部书记会议,每季开展党建工作检查,每年进行一次内审活动,每年都对党建工作开展群众满意度调查、反馈和改进,不断提升党建工作质量,确保顾客满意。
(4)强调过程控制,坚持持续改进。ISO 9000质量管理体系最大的特点就是“过程管理”,它将任何一项工作都通过一个严密的过程来控制。按照这一原则,华仪集团党委通过建立“凡事有人负责、凡事有人监督、凡事都有记录”的工作流程,把党建工作的复杂过程控制在每一个环节、每一个时段、每一个具体的责任人。对每一项党建工作或活动的过程均实行PDCA (策划-实施-检查-改造)闭环过程控制。整个循环用“写我所做、写我应做;做我所写;记我所做;查我所做、查我所记;改我所错”等5句话来概括。其中,“写我所做、写我应做”是建章立制的依据和内部制度形成的过程,表示策划。“做我所写”就是要求怎么做就怎么做,也就是实施。“记我所做”体现了做的依据。“查我所做和所记”就是要检查行为是否与文件的规定相吻合。“改我所错”就是在分析和评价现状、识别改进区域后,努力改进文件本身的缺陷或实际操作中存在的问题。这样周而复始,达到持续改进的目的。整个党建质量管理体系的运行充分贯彻了ISO 9001标准“该说的要说到,说到的要做到,做到的要有效,有效的要鉴证”的思想精髓,大大提高了党建工作质量和管理水平。
(5)注重全员参与,形成良好氛围。企业党建的作用发挥离不开每一个党员的参与,华仪集团的党建质量管理体系充分体现了“全员参与”的理念。华仪集团党委结合党员所在岗位和职务的不同,因岗制宜、因人而异,编制了《岗位职责及职责要求》《组织生活管理制度》《党员为群众组织服务的工作要求》《党员与职工沟通管理办法》等一系列文件,为每位党员都设置了岗位,并明确了工作职责,使每位党员大大小小都有一份“责任田”。比如,第四支部的某位党员的工作就是收集生产一线普通员工的意见,及时反馈给党支部或者党委,让领导及时给予解决;而党委宣传部的某位党员的责任则是每年根据党建ISO 9001标准来制订次年的培训计划,并且负责把生产一线的好人好事推荐到集团党委。正所谓“千斤重担众人挑,人人肩上有指标”,华仪集团以此来切实促进“全员参与”。
同时,华仪集团党委还建立了《党员行为规范》《违纪党员处理办法》《党员“先锋岗”管理办法》等制度,来规范党员行为,激励每位党员成为合理化建议的采集者、党的方针政策的宣传贯彻者、企业生产经营的骨干能手、企业文化建设的实践者、职工合法权益的维护人,形成全员参与的良好氛围。
3 以ISO 9001党建质量管理体系为基础,全面提升党建科学化水平
多年来,华仪集团党委以ISO 9001党建质量管理体系为基础,深入推进“服务企业、服务员工、服务党员、服务社会”的党建工作内容,开展了形式多样、内容丰富的党建活动。第一,积极发展党员。近几年集团共举办党员培训班20多期,培训党员1 000余人次,及时将党员人才向企业决策层推荐。第二,关爱员工。建立了“2+2”爱心基金,帮助贫困员工解决燃眉之急,已累计发放救助金20多万元;帮助员工解决子女入学难、住房难等问题;进一步改善用工环境;制订员工教育培训规划;每年定期召开一次职工代表大会,积极维护员工合法权益。第三,引导党员围绕生产发挥先锋模范作用。设立党员先锋岗,开展QC小组活动、劳动竞赛技术比武活动;开展“三通三连”企业文化建设活动,实现理念沟通、思想沟通和生活沟通,使党组织与企业心连心。第四,积极回报社会。设立华仪奖学金、资助特困生、向灾区捐款、与街道社区开展共建等,累计捐款捐物3 000余万元。
此外,华仪集团还以党建ISO 9001党建质量管理体系为基础,创新党建形式,全面提高企业党建的科学化和规范化水平。
(1)创新组织自身建设。华仪集团党委与时俱进地创建了“党员微信群”和“微型党课展示”。通过“党员微信群”把党的政策理论、党员工作动态等第一时间传递到每一位党员手中,并向全体党员及时发布党建活动信息、党课资讯、时事新闻等内容,倾听各党员的意见和建议,不仅拉近了各部门、党员及流动党员之间的距离,又很好地弥补了因生产繁忙、人员出差、在外党员及流动党员无法及时参加党员生活会的遗憾。微型党课在时间上强调“短”,在形式上体现“活”,在效果上注重“实”。通过开展微型党课等学习活动,教育引导党员干部进一步强化先锋意识、责任意识和表率意识
(2)创新内部发展形式,把党的工作推向一线。针对行政和车间分离,一线党员发挥作用缺少平台的现象,华仪集团党委开展了“支部建在车间,党员在您身边”的活动,建立了群众工作指导员制度,使党员真正做到工作在一线,服务在一线,发挥作用在一线。一是党员模范形象在一线。每个车间的党员信息和每年评选出的党员先锋岗都在一线展示。正如一名员工所说:“过去,谁是党员,我不清楚。现在不但知道他们是谁,还能对他们的工作、行为进行监督,对党组织的工作也一清二楚。同时也可以勉励自己。”二是党务工作在一线。在车间一线开辟党建专栏,把党员公开承诺、支部风采、党务公开、支部党建ISO 9001质量管理体系、五型班组等党务工作的情况等一一公示,使党务工作公开透明,直接接受群众监督。三是思想工作在一线。在车间开辟“党员谈心室”、开展党员和员工结对帮扶,一方面引导优秀员工积极向党组织靠拢,另一方面充分掌握员工生产和生活情况,及时化解矛盾和解决困难。
(3)创新外部发展形式,开展支部结对共建。在党建工作的对外发展上,华仪集团党委积极探索建立基层党组织互帮、互学、互助的有效机制,提高党组织的凝聚力、战斗力和创造力。目前,华仪集团党委第一支部已与乐清市供电公司党委客服中心第一支部结成共建支部,以组织建设互促、党员交流互动、支部工作互助、党的群众路线教育实践活动共进、党建经验共享为主要内容,遵循资源共享、优势互补的原则,实现取长补短、互相促进、共同提高。
4 华仪集团ISO 9001党建质量管理体系的效果及其思考建议
(1)华仪集团建立运行ISO 9001党建质量管理体系的效果。华仪集团通过把ISO 9001标准引入党建工作,使企业党建的成效转化为生产经营的动力。其效果具体来说,一是使企业党建工作与生产经营结合更加紧密,企业管理与党的建设两个体系相互支撑、相互促进,党建工作与生产经营有机融合,有效地解决了“两张皮”现象,有力地促进了企业发展。二是使企业党建工作的目标更加明确、具体、可操作,避免了党建工作的盲目性和随意性。三是使企业党建的各项工作切实落到了实处,避免了非公有制企业党建成为“花架子”。四是使党建工作有了科学的评价体系。五是使党建工作制度化、程序化、可视化,更加系统、科学和规范。
(2)对华仪集团党建质量管理体系的思考建议。一是非公有制企业应充分正视党建工作。不少非公有制企业对开展党建工作认识不足,有的甚至存在抵触情绪。华仪集团在企业尚在发展阶段时就重视发展企业党建,并因此获得了强大持久的生产经营动力,这是一个很好的例证。二是其他企业应审慎地学习华仪集团的经验。“它山之石,可以攻玉”,华仪集团的党建质量管理体系确实值得学习借鉴,但是我们还要看到华仪集团的党建工作始终是紧紧地契合公司的发展阶段、发展战略和实际需要的,这个不能忽略。对于华仪集团党建的宝贵经验,可以“全盘引进”,也可以“取其精华”,还可以参考借鉴,但都应根据自己的实际情况而定,充分考量其中的共性和差异,走出一条具有自己企业特色的党建之路。
参考文献
[1]温州市委组织部.品牌的力量[Z].2014.
[2]华仪集团网站.引入ISO 9000标准,建立非公有制企业党建质量管理体系[EB/OL].www.huayi.com,2011-06-12.
[3]姜巽林.乐清激活非公企业“红色细胞”[N].温州晚报.2014-04-21.
[4]华仪集团党委:把党的工作推向一线[N].乐清日报,2012-07-04.
