003004 信息技术服务 治理 第1部分：通用要求（草案）

《003004 信息技术服务 治理 第1部分：通用要求（草案）》由会员分享，可在线阅读，更多相关《003004 信息技术服务 治理 第1部分：通用要求（草案）（14页珍藏版）》请在装配图网上搜索。

1、GB/T 发布中华人民共和国国家质量监督检验检疫总局中 国 国 家 标 准 化 管 理 委 员 会-实施-发布信息技术服务 治理第1部分：通用要求Information technology Service - governance-Part 1：General requirements（草案）GB/T .2201中华人民共和国国家标准ICS XX.XXX.XX;XX.XXX2目 次目 次I前 言I引 言II信息技术服务 治理 第1部分：通用要求11 范围、应用和目标11.1 范围11.2 应用11.3 目标11.4 使用本标准带来的好处12 规范性引用文件23 定义23.1 可接受的23.2

2、 组织治理23.3 组织的IT治理23.4 治理机构23.5 能力23.6 领导者23.7 人员行为33.8 信息技术（IT）33.9 IT投资33.10 管理33.11 组织33.12 方针33.13 建议33.14 资源33.15 风险33.16 风险管理33.17 利益相关方33.18 策略33.19 IT的使用33.20 IT治理过程34 IT治理框架44.1 EDM44.2 组织的治理要求54.3 IT治理过程7I前 言本部分标准作为GB/T 信息技术服务 治理 第X部分：XXX的组成部分，与以下有着密切关系： 第2部分：实施指南； 第3部分：绩效指标体系； 第4部分：审计导则。本部

3、分由中华人民共和国工业和信息化部提出。本部分由全国信息技术标准化技术委员会归口。本部分起草单位： XXXXXXXXX本标准主要起草人：XXXXXXX引 言IT治理是企业治理的重要组成部分，源于监管要求和业务发展的要求。通过IT治理，使企业的IT战略规划与企业战略规划一致；IT目标与业务目标一致；IT资源得以统一规划和管理；风险得到有效的控制。信息技术服务 治理 第1部分：通用要求从总体上规范IT治理的基本范围，提出IT治理的指导原则，企业按照信息技术服务 治理 第2部分：实施指南的规范，实施IT治理的活动。遵从信息技术服务 治理 第3部分：绩效指标体系的规范要求，使企业能够定量或定性的把握IT

4、治理的绩效。企业按照信息技术服务 治理 第4部分：审计导则评价IT治理状况，使企业全面把控IT治理的状况，并及时调整其IT战略。本标准旨在为领导者在组织内评估、指导和监管信息技术（IT）的使用，提供一个原则框架。大部分组织使用IT 作为一个基本的业务工具，在没有IT时业务功能很少可以有效运作。对于很多组织，IT也是将来业务规划的重要因素。IT支出占组织财务和人力资源支出的重要部分，但其投资的收益常常没有得到充分认识， 而且可能会给组织带来重大的负面影响。 这些消极结果的主要原因是，过于强调IT活动的技术、财务和日程安排方面，而没有关注整个业务环境中的IT使用。 本标准针提供IT的有效治理的框架

5、，以帮助组织高层人员理解和实现其组织在利用IT方面的法律、法规和道德要求。此框架由定义、原则和模型组成。当本标准服务于治理团队，反过来也可能领导组织管理层采取的某些行动。在一些组织（通常是小型组织），允许治理团队成员承担管理的关键角色。在这个意义上，它可以确保本标准适用于所有组织，无论大型组织，还是小型组织，而不论组织的目的、规划和股东结构；本标准旨在为参与设计和实施支持治理的管理体系方针、流程和结构的人员提供信息和指南。I信息技术服务 治理 第1部分：通用要求1 范围、应用和目标 1.1 范围 本标准为组织的责任人（包括所有者、董事会成员、责任人、合作伙伴、高级执行层，或其他类似人员）提供组

6、织内有效、高效和合理运用信息技术（IT）的指导性原则。 本标准用于组织内部信息和通讯服务的管理过程（和决策）的治理。这些过程可能受组织内的IT专家、外部服务提供商或组织内业务部门控制。 本标准也为那些给向组织的责任人提出建议、告知信息或协助工作的人员提供指南。这些人员包括： l 高层管理者 l 监管组织资源利用的小组成员； l 外部的业务或技术专家，如法律或财务的人员；相关专家；行业协会，或专业团体； l 软件、硬件、通讯或其他IT产品的供应商； l 内部或外部服务提供方（包括咨询人员）； l IT审计人员。 1.2 应用 本标准适用于所有组织，包括公众和私有公司、政府组织和非赢利组织。本标准

7、也适用于从小型到大型不同规模的组织，而不论其对IT利用的程度如何。 1.3 目标 本标准目的是通过以下方式，促进所有组织有效、高效和合理的利用IT： l 遵循本标准，可能使得相关利益方（包括消费者、股东和雇员）对组织的IT治理具有信心；l 为组织内治理IT使用的责任人提供信息和指导； l 为组织的IT治理提供基本的客观评估。 1.4 使用本标准带来的好处 1.4.1 总则 本标准建立有效、高效和合理利用IT的原则。确保组织依据这些原则，帮助责任人平衡风险和鼓励从IT使用中获得机会。 本标准建立了IT治理的模型。通过对模型的合理应用，可以降低责任人未能履行其职责的风险。 本标准还提供了有关IT治

8、理的术语。 1.4.2 组织的符合性 合适的IT治理能够帮助责任人确保组织在合理利用IT方面，符合其职责和义务（法律法规、合同）要求。 不恰当的IT系统可能使责任人面临不符合法律要求的风险。如在某些判决的案例中，由于不适当的财务系统会导致没有交税的情形，使责任者本人可能需承担责任。 使用IT的过程中，会涉及到特定的风险，必需适当处理。责任人可能要为违反以下标准、法律法规行为承担责任，如： l 安全标准； l 隐私保护法律； l 垃圾邮件法规； l 贸易惯例法规； l 知识产权，包括软件许可协议； l 记录保存的要求； l 环境相关的法律法规； l 健康和安全的法规； l 残疾人便利法规； l

9、社会责任标准。 领导者利用本标准的指南，可最大程度的满足其责任的要求。1.4.3 组织的绩效 适当的IT治理通过以下活动，帮助领导者确保IT的利用在为提高组织绩效方面，带来积极的影响： l 合理的实施和运行IT资产； l 明确达成组织目标的IT的使用者和提供方的职责和责任； l 保持业务连续性和稳定性； l 保证IT与业务要求的一致性； l 有效分配资源； l 进行服务、市场和业务的创新； l 维持与利益相关方关系的良好的实践活动； l 降低组织成本；以及 l 重视从每一IT投资获得的经过认可的收益。 2 规范性引用文件1 组织财务治理报告, Sir Adrian Cadbury, 伦敦, 1

10、992 ISBN 0 85258 913 1 2 OECD 组织治理原则, OECD, 1999 and 2004 3 ISO 指南73 2002 - 风险管理 - 术语 标准使用指南。 43 定义 以下定义适用于本标准。希望组织在其环境和架构中采用本标准的术语。 3.1 可接受的 满足利益相关方的合理或应得的期望。 3.2 组织治理 指导和控制组织的体系。（引自Cadbury 1992 and OECD 1999）3.3 组织的IT治理 指导和控制当前和将来IT利用的体系。 IT治理涉及评估和指导支持组织的IT的使用，并监管IT的使用，以实现计划。它包括组织内IT使用的策略和方针。 3.4

11、治理机构负责界定各相关主体在治理范围、责权利及其相互关系准则的组织或实体。3.5 能力 具有履行一项任务或角色所需的知识、通过正式或非正式获得的技能、培训收获、经验和行为态度等的组合。 3.6 领导者 组织最高层治理团体的成员。包括所有者、董事会成员、合伙人、高层执行人或其他类似人员，以及法定的人员。 3.7 人员行为 人员行为指系统内的各个要素之间（包括人与人，人与物，物与物）的相互作用，以确保系统良好运行和最佳绩效。人员行为包括作为个人或团队的文化、需求及志向。 注：对于IT，存在多种团体和小组，他们都具有其自身的需求、意向及行为。如，（一）使用信息系统的人员可有展示访问便利、人体工程学、

12、可用性和性能方面的相关要求。（二）工作角色因IT应用而改变的人员可能提出的需求，与沟通、培训和信心恢复相关。（三）建设和运行IT的人员提出的需求可能是关于工作条件和发展技能方面的。 3.8 信息技术（IT） 获得、处理、保存和传播信息所需的资源。这可能包括单一术语“通讯技术（CT）” 和组合术语“信息与通讯技术（ICT）”。 3.9 IT投资 分配人员、资金和其他资源以达成既定目标以及获得其他利益。 3.10 管理 为达到组织治理团队所设置的策略性目标所需的控制和过程体系。管理是在组织治理制定的方针指导下进行的，而且受到治理团队的监管和评估。 3.11 组织 具有自身职能和管理的任何公司、企业

13、、政府、非赢利或其他合法组织，包括协会、俱乐部、合作企业、政府组织、公众公司、私有公司及专营商等。 3.12 方针 关于组织行动方向和行动本身，明确的、定性定量的描述，以约束组织内的决策。 3.13 建议 关于收益、成本、风险、机会和其他适用于做出决策的因素的汇集，包括业务案例。 3.14 资源 人员、程序、软件、信息、设备、耗材、基础设施、资金和运作基金，还有时间。 3.15 风险事件发生的可能性和引起的后果的组合 (ISO/IEC Guide 73). 注：后果是对组织产生的影响，后果可能是负面的，而对组织的影响是正面的，通常称为“机会”。 3.16 风险管理 指导和控制组织风险的协调活动

14、（ISO/IEC Guide 73）。 3.17 利益相关方 可能影响某一决策或活动的，并受到某一决策活动影响或自身感到受到影响的任何个人、团体和组织（引自ISO/IEC Guide 73）。 3.18 策略 组织发展的整体计划，它描述组织在将来活动中支持其资源的有效利用。涉及到设定目标和提出行动倡议。 3.19 IT的使用 计划、设计、开发、部署、运行、管理和应用IT，以满足业务的要求。包括对IT服务的要求，以及由内部业务部门、特定的IT服务部门、外部供应商和服务功能（如将软件作为一个服务提供）所提供的IT服务。3.20 IT治理过程IT治理过程是指IT治理的对象领域，如规划、建设和运维。4

15、 IT治理框架时间节点要求：“通用要求”4月3号提交，“实施指南”4月20日提交对于图片的概述说明（银海）图1 IT治理框架图IT治理是组织根据它的使命，设计并实施信息化过程（规划、建设、运维）中各方利益最大化的有效机制，包括公司战略与信息化战略融合的机制，权责对等的问责机制，信息化投资的决策机制，信息化的组织保障机制，信息化的健康发展机制，信息化的绩效管理机制以及信息化的持续改进机制，实现组织的业务战略，促进管理创新，合理管控信息化过程的风险，建立信息化可持续发展的长效机制，最终实现IT商业价值。本部分提出IT治理通用要求的基本框架，如图1所示。战略，组织的信息化战略应与业务战略相融合，IT

16、的战略计划应该满足组织当前和持续的业务战略的需要。职责，组织内的个人或团体应该理解和接受其与IT活动的相关职责，同时这些活动的责任人，具有履行这些活动的权利。获取，组织应基于适当的和持续发展的分析，作出明确清晰的IT投资决策。这是对短期或长期的利益、机会、成本和风险的一个适当平衡。人员，组织应基于IT战略、职责、投资，实际操作和决策要体现对人员行为的重视，包括当前和发展所需的所有“过程中的人员”。 合规，组织应对IT资源的运作情况以及董事、高管行使职权行为进行监督，并符合所有强制法律法规的要求。绩效, 组织应定期评估组织IT治理体系的有效性和绩效。持续改进，在IT治理过程中，组织通过策划、实施

17、、检查和改进实现组织IT治理能力的持续提升。4.1 EDM领导者应该通过三项主要任务治理IT： a) 评估现在和将来对IT的利用。 b) 指导计划和方针的准备和实施，以保证IT的利用符合业务目标。 c) 监管方针执行的符合性，以及按照计划实施的绩效4.1.1 评估领导者应该检查和评判当前和将来对IT的利用，包括策略、建议和供给安排（不管是内部、外部，还是两者都有）。 在评估IT的使用时，领导者应该考虑对于业务的内外部压力，如技术的变更、经济和社会的发展、以及政治影响。 领导者应该随着压力的变化，持续进行评估。领导者还应该考虑现在和将来的业务需求 当前和将来的组织必须达到的目标，如维持竞争优势，

18、以及正在评估中的战略或意图的特殊目标。4.1.2 指导 领导者应该制定计划和方针的准备和实施工作方面的职责，并予以指导。计划应该设定IT项目和IT运维的投资方向。方针应该确定IT利用的合理行为。 领导者应该保证从项目实施完成而转入日常程运作，是得到了周密计划和良好管理的，并考虑对业务、现有IT系统和基础设施运作的习惯影响。 领导者应该通过要求管理者提供及时的信息、遵从组织的指导以及符合良好治理的六项原则，来提倡鼓励组织内良好IT治理的文化氛围。 如果需要，领导者应该指导提交已确认的需求的建议方案，以便得到批准。 4.1.3 监管 领导者应该选择合适的测量体系监管IT的绩效。他们应该确保计划得到

19、遵循，特别是与业务目标相关的。 领导者应该确保IT符合外部义务（法律、法规以及合同）和内部实际工作的要求。 注：IT特定方面的责任可能委托给组织内的管理人员。但领导者仍需为组织的IT有效和可接受的使用及交付承担责任，而不能委托。4.2 组织的治理要求（写实施指南时，请参照ISO /IEC 30120 标准的具体内容）以下章节提供有关良好IT治理一般原则的指南和实施这些原则所需的实践。 这里所描述的实践可能不是全面的，但提供了讨论IT治理领导者职责的起点。也就是说，这里所描述的实践是IT治理的建议指南。 充分考虑组织的特性，IT使用的适当的风险和机会分析，以识别原则的实施所需的特别行动，是每个组

20、织自身的职责。 作为基本说明，这里描述的实践适用于多数组织（大型的或小型的），多数情形。当然，应该考虑任何变化。 4.2.1 战略（用友-实施指南）领导者应该评估IT和业务过程的开发、指导计划和方针的准备和适用、监管已获得批准的IT方案的实施进展，以确保IT为将来的业务要求提供支持，保证其利用所分配的资源、在要求的时间内达到目标。评估 领导者应该评估IT和业务过程的开发，以确保IT为将来的业务要求提供支持。在考虑计划和方针时，领导者应该评估IT活动，以确保其在不断变化的环境下与组织的目标相一致，并考虑更好的实现方式以及其他关键利益相关方的要求。 领导者应该确保IT的使用，得到了按照相关国际或国

21、内标准所建议方式进行了风险评价。 指导 领导者应该指导计划和方针的准备和适用，以确保组织从IT开发中获益。 领导者还应该鼓励IT使用的创新性建议，使得组织可以应对新的机会或挑战、承担新的业务或改进过程。 监管 领导者应该监管已获得批准的IT方案的实施进展，以保证其利用所分配的资源、在要求的时间内达到目标。 领导者应该监管IT的使用，以保证其达到预期的收益。 4.2.2 职责（慧点-实施指南）领导者应该在组织当前和将来对IT使用的基础上，评估职责分配方案、指导职责贯彻执行、监管IT治理机制的建立、人员职责的分配和绩效，以保证其利用所分配的资源、在要求的时间内达到目标。评估 领导者应该在组织当前和

22、将来对IT使用的基础上，评估职责分配方案。在评估方案时，领导者应该设法确保有效、高效和可以接受的使用和交付IT，以支持当前和未来的业务目标。 领导者应该评估分配有IT决策责任的人员的能力。一般来说，这些人员应该是业务管理人员，负责组织的业务目标和绩效，并得到理解组织业务价值和过程的IT专家的协助。 指导 领导者应该指导计划按照所分配的IT职责得以执行。 领导者应该指导相关人员获得履行其职责和责任的所需信息。 监管 领导者应该监管合适的IT治理机制是否得到了建立。 领导者应该监管那些分配有职责的人员，熟悉并理解他们的职责。领导者应该监管分配有IT治理职责的人员（如，在督导委员的人员或向董事会提交

23、建议的人员）的绩效。 4.2.3 获取（慧点-实施指南）领导者应该评估已批准建议的IT实现方案，平衡风险和物有所值的投资建议、指导通过合适方式获得的IT资产（系统和基础设施）、监管IT投资，以保证其提供的是所需的能力。评估 领导者应该评估已批准建议的IT实现方案，平衡风险和物有所值的投资建议。 指导 领导者应该指导通过合适方式获得的IT资产（系统和基础设施），包括合适的文件准备，以确保提供所需的能力。 领导者应该指导供给安排（包括内部和外部的供给安排），以支持组织的业务要求。 监管 领导者应该监管IT投资，以保证其提供的是所需的能力。 领导者应该监管组织在作出任何IT采购决策时，组织和供应商共

24、同理解组织意图的程度。 4.2.4 人员行为（华胜天成-实施指南）领导者应该评估、指导、监管IT活动，以确保人员行为是确定、适当和一致的。 评估 领导者应该评估IT活动，以确保人员行为是确定的和适当的。 指导领导者应该指导IT活动，使它们与人员行为是一致的。 领导者应该管理由任何人在任何时间报告或识别的风险、机会、问题和关心事项。风险的管理应该按照已发布的策略和程序进行，并将升级信息及时告诉给相关决策者。监管 领导者应该监管IT活动，以确保确定的人员行为的关联性，并适当加以注意。 领导者应该监管实际工作方式，以保证其与合理使用IT的一致性。4.2.5 合规（久其-实施指南）领导者应该定期评估I

25、T满足义务（法律法规、合同）、内部方针、标准和专业指南的程度、指导责任人建立定期和例行机制、监管IT的符合性和一致性，以保证IT的使用符合相关要求，确保评审的有效性、符合性和充分性。 评估 领导者应该定期评估IT满足义务（法律法规、合同）、内部方针、标准和专业指南的程度。 领导者应该定期评估组织内部对其自身的IT治理体系的符合性。 指导 领导者应该指导责任人，建立定期和例行机制以保证IT的使用符合相关义务（法律法规、合同）、标准和专业指南 领导者应该指导方针的建立和推行，以保证组织的IT使用符合其内部义务。 领导者应该指导IT员工遵循相关专业行为和开发的指南。 领导者应该指导所有IT相关活动合

26、乎伦理道德。 监管 领导者应该通过合适的报告和审计活动，监管IT的符合性和一致性，以确保评审对于评估业务得到满足的程度是及时、全面和适宜。领导者应该监管IT活动，包括资产和数据的废弃，以保证环境、隐私、战略知识管理、组织私有技术和其它相关义务得到满足。4.2.6 绩效（风险包含在里面）（软件中心、万隆-实施指南）领导者应该评估管理者所建议的办法、指导资源的分配、监管IT对业务的支持程度，以保证IT具备支持业务过程所需的能力和潜力、保证IT满足组织的要求。评估 领导者应该评估管理者所建议的办法，以保证IT具备支持业务过程所需的能力和潜力。 这些建议应该处理日常运作的业务和与使用IT的相关风险。

27、领导者应该评估由IT活动所带来的业务持续运作的风险。 领导者应该评估信息完整性的风险和对IT资产的保护，包括相关知识产权和组织信息。领导者应该评估有关使用IT支持业务目标的即时、有效的决策方案。 领导者应该定期评估组织IT治理体系的有效性和绩效。 指导 领导者应该按照商定的优先级和预算，分配足够的资源，以保证IT满足组织的要求。 领导者应该指导责任者，以保证IT对业务的支持。当因业务原因需要时，维护准确、不断更新的数据免受损害或误用。 监管 领导者应该监管IT对业务的支持程度。 领导者应该监管所分配的资源和预算优先次序与业务目标吻合的程度。领导者应该监管方针恰当性的程度，如数据的准确性和IT利

28、用的效率。 4.2.7 持续改进（赛宝通用要求+实施指南）4.3 IT治理过程（治理不是管理，按照EDM分块写，参考COBIT 5， ）4.3.1 规划（AMT通用要求+实施指南）4.3.2 建设（勤智通用要求+实施指南）领导者应该评估、指导和监管IT治理的构建、获取和实施相关的过程。包括项目、需求、方案、变更、知识、资产和配置项等管理相关的过程建设。评估 领导者应该评估IT治理建设的过程，以确保项目、需求、方案、知识、资产和配置项的管理过程是确定的和适当的，随着业务变化可以满足当前与未来的需求与战略目标。指导领导者应该指导建立项目与项目群管理；领导者应该指导管理需求的识别、解决方案的建立和识

29、别；领导者应该指导管理可用性与容量；领导者应该指导管理组织的变更，包括变更的过程、变更接受与转换过程；领导者应该指导管理组织的知识；领导者应该指导管理组织的资产与配置项。监管 领导者应该监管构建，获取和实施过程的执行情况。领导者应该监管建设过程的符合性。领导者应该监管项目、需求、方案、变更、知识、资产和配置项的管理。4.3.3 运维（联通通用要求+实施指南）评估领导者应组织检查、评判运维工作，检查运维相关策略、规划及内部、外部资源等。在做运维评估时，应该考虑技术升级、社会经济发展以及政治因素对运维工作的影响。领导者应该根据这种影响的变化，持续对运维工作进行评估。领导者还应该考虑运维工作当前需要

30、达到的目标及未来实施规划，以及某些特殊目标，例如保持竞争优势。指导 领导者应该组织并指导制定运维工作相关计划、方针、职责等。其中，计划应该体现运维的投资方向；方针应该确定运维工作的合理行为。运维工作从启动开始，领导者应该保证作业计划周密，管理得当。同时要考虑该运维作业对其他业务及在维系统、基础设施的影响。领导者应该审批必要的运维需求方案。监管领导者应该选择恰当的指标体系，以监管运维工作的绩效。领导者应该确保运维工作必须按计划执行，尤其是业务系统的运维。领导者必须确保运维工作要符合法律、法规、合同等要求。领导者可以将运维工作进行分解，并且指派给不同人员负责。但领导者必须对运维工作的有效、可交付而负责。7