ISO/IEC 38500 (2015) 組織的資訊技術治理

ISO/IEC 38500:2015

Information technology — Governance of IT for the organization

資訊技術—組織的資訊技術治理

概述

ISO/IEC 38500 （第2版） 提供基本詞彙及概念、原則，治理機構得以運用的模式，供組織評估、引導、管理和監督資訊技術在組織內的使用情況。

資訊技術的蓬勃發展，推動全球公民營組織和企業堂堂邁入知識型經濟時代，資訊網路和通訊技術配合組織創新活動，已成為企業生產力和日常營運的必備要素，因此，有必要制定一個可遵循的模式或標準，以便正確使用此等資訊技術，有助於日常活動中維持營運，避免網路或通訊中斷引起經濟損失或危害，使企業未能完成工作或既定目標。

資訊技術不僅是支持企業營運的工具和技能，也是公司策略規劃的重要環節，經由資訊技術協助促成新的營運模式、產品和服務，使企業能夠長期和可持續發展，力求躋身於各自領域裡最優秀的公司之列。

該國際標準基於給定原則的高階層諮詢標準。除了就治理機構的作用提供廣泛指引外，亦可鼓勵各組織採用適當的標準鞏固組織管理資訊技術。

為了實現該項目標，組織須建立某種資訊技術模式，使企業能夠滿足客戶的要求。基於此種情況，須建立資訊技術(IT) 治理機制，將組織中所有參與者的利益整合在一起。通過遵循 ISO/IEC 38500 （第2版）標準提供的高層級架構、基於原則和資訊技術指引模式，當可確保創造資訊技術價值，降低資訊技術相關的企業風險，並促成整個組織的資源和成本最佳化。

資訊技術支出佔到組織財政和人力資源支出的很大一部分。然而，此項投資往往不會完全實現具體回報，而且會帶來不利影響，亦對組織可能帶來很大潛在影響。

產生該類負面結果的主要原因是強調資訊技術活動侷限在技術、財務和行程安排等方面，而不是強調使用資訊技術的企業大環境。

公司治理財務問題委員會報告「凱德伯利報告，the Cadbury Report」在1992年公佈的公司治理係與該國際標準的定義維持一致。「凱德伯利報告」在1999年的世界經濟合作組織「公司治理原則」（後在2004年再予修訂）中提供公司治理的基本定義。治理係不同於管理，為避免混淆，兩個概念分別由本標準及伴隨標準ISO/IEC 38502予以闡釋。

該標準為充分有效地管理資訊和通訊技術建立的架構，使高階管理者能夠了解並履行其在組織內使用資訊技術方面的義務。

該國際標準主要針對治理機構。某些組織內（通常是較小的組織），治理機構的成員也可以是執行業務的經理階層。本國際標準適用於所有組織，從最小的組織到最大的組織，無論是何種目的、設計或所有權結構。

ISO/IEC TS 38501係提供實施資訊技術治理的國際標準。

ISO/IEC 38500:2024 （第3版）已正式出版。

© All Rights reserved. 版權聲明。

效益和良好的資訊技術治理

ISO/IEC 38500 適用於使用資訊技術的各類組織內資訊技術治理流程之治理機構，包括業主、高階管理階層、合黟人、執行階層等，為客觀評估資訊技術治理的有效性、效率及組織內足以有效實施資訊技術提供指引原則及應用模式。

除了遵守及符合現行法律外，資訊技術治理亦可實現下列目標：

• 適當實施和營運資訊技術的資源。
• 明確責任，衡量組織目標的實現情况。
• 業務連續性和可持續性。
• 使資訊技術與企業需求保持一致。
• 有效分配資訊技術資源。
• 服務、市場和企業創新。
• 改善與利益相關者的關係。
• 降低資訊技術成本。
• 有效實現每項資訊技術投資的預期效益。

亦可提供給組織的董事階層做出建議、通知或協助的人提供指導。他們包括

• 經營管理執行階層
• 監控組織內資源的小組成員。
• 外部企業或技術專家，例如法律或會計師、零售或工業協會、或其他專業機構。
  內部和外部服務提供者
• 內部和外部服務提供者（包括諮詢師）。
• 稽核員、驗證機構。

該國際標準適用於組織目前和未来使用資訊技術的管理，包括與目前和未来使用資訊技術相關的管理過程和决策。該等過程可以由組織內的資訊技術專家、外部服務提供商或組織内的企業單位進行管制。 目前尚無該標準相關的人員或組織第三者驗證方案或認證方案。

該國際標準將資訊技術治理定義為組織治理的一個次集合或領域，對於公司而言，也可將其定義为公司治理的一個次集合或領域。

如果遵循標準提出的原則和做法，組織得以向利益相關者保證：

• 外界可以對組織採用資訊技術的治理具備信心，
• 告知和指引治理機構管理其組織内資訊技術的使用，以及
• 建立資訊技術治理辭彙。

歷史

ISO/IEC 38500 的前身是ISO/IEC 29382，是資訊技術企業管理的國際標準，後者係跟進澳大利亞標準 AS 8015:2005，再由ISO和IEC成立聯合技術委員會 ISO/IEC JTC1資訊技術，下轄的次級委員會SC40資訊服務管理及資訊治理，參考澳大利亞標準AS 8015，並結合AS 8000:2003良好治理原則，AS 3806合規性程序，正式制定，並於 2008 年 6 月正式發佈ISO/IEC 38500:2008第一版，替換ISO/IEC 29382。後續在2015年發行ISO/IEC 38500:2015第二版，以第一版的基礎，而在章節安排、小節和圖樣做了技術更新。此篇短文係參考第二版撰寫，而第三版已在2024年出版，另外再擇期補充。

應用

ISO/IEC 38500：2015 為企業所有者、董事、合作夥伴、合伙人、經理、高級行政人員或類似人員提供有關資訊技術治理的簡明指引，適用於所有類型組織，包括公私營公司、政府部門和非營利組織。適用於從最小到最大的各種規模的組織，無論其採用何種程度的資訊技術。促進所有組織有效果、有效率和可接受地使用資訊技術。

該標準適用於公司內部與資訊和通信服務相關的流程管理。該等流程可由內部（組織內部）或外部（組織外部）的資訊和通信技術專家管制。

該標準允許資訊技術及相關從業人員向公司管理階層提供建議、資訊或協助。

組織得以向利益相關者保證，只要遵循標準提出的原則和做法，他們就能對 組織的資訊技術治理充滿信心、

向治理機構提供在其組織內使用資訊技術的資訊和指導，以及建立 IT 治理詞彙表。

目標

• 確保相關各方（管理、工程、業務、生產和資訊技術等部門）能夠信任資訊技術部門的公司治理。
• 為控制組織內資訊技術使用的管理人員提供資訊和指導。
• 為最高管理階層在資訊技術管理方面進行客觀評估提供依據。

益處

ISO/IEC 38500 標準適用於利用資訊技術的各類組織的資訊技術管理流程的治理，其目的是促進對資訊技術治理的客觀評估，主要是為了實現績效和成本效益目標，但主要是為了防止資源的損失。它所帶來的益處主要體現在以下方面：

• 在企業、服務及市場創新
• 使資訊技術與業務需求保持一致。
• 適當實施和營運資訊技術資源。
• 明確責任和當責，衡量組織達到資訊技術目標的實施情況。
• 業務連續性和可持續性。
• 有效分配資訊技術資源。
• 改善與利益相關者的關係。
• 實現有效的效益：從投資每項資訊技術的預期效益

ISO/IEC 38500 原則

ISO 38500 確認了 「資訊技術良好企業治理」的六項原則，說明如下：

該等原則為做出決策提供指引，並讓使用者了解到在資訊技術方面，一個組織內部應該如何實現良好的公司治理。

原則 1.- 責任：組織中的每個人都必須能夠理解並接受自己在資訊技術運用方面的責任。責任分工，對分派的責任予以評估，確保能夠承擔所分派的責任，監督各項分派的責任及實施情況。

組織分派資訊技術須考慮組織採用的商業模式和組織結構，例如：是否配備需要內部管理的資產、是否需要外部諮詢師協助、由外部供應商或協力商提供的產品或服務。

原則 2.- 策略：在此項原則，必須考慮企業當前和未來的資訊技術能力或需求，以便制定策略規劃來達到該等需求。

原則 3—可獲得性：獲得資訊技術須有正當理由，應在效益、機會、成本和風險之間取得平衡，並以短期和長期為參照座標。

此項原則呈現組織關於風險與價值的規劃分配，涉及資訊技術的近期和中期投資政策，管理階層須依照政策及文件化程序確保資訊技術投資的安全性，此類投資事項的資源分配須受到監督，必要時得以及時更新或重新分配。資訊技術的實施須整合各類資訊面向及系統能力，亦包括獲取資訊和處理資料，確保組織順利執行與維持資訊前後環節和資料管理。

原則 4.- 績效：資訊技術的規模必須能夠更有效地支持組織，提供品質適當的服務，以滿足當前和未來的需求。

組織須合宜分配目前的活動，指導規劃措施的實施與發展以彌補差異。資訊技術朝向輕薄短小化發展，網際網路的各項標準使得不同服務供應商及其設備，愈來愈依靠調適工作以確保相容性和內部可操作性，因此墊高製造商之間的競爭難度，但也開創更廣闊的市場機遇，及業務的潛在發展方向。發展過程中，某些早期措施往往帶有重複投資或是否有效的質疑，或者是否有助於產生業務利潤，開拓新市場的可能性。預期客戶採用新資訊系統的週期將逐漸拉長，例如：網路銀行ATM業務間的資訊交換作業。

原則 5.--合規性：該原則旨在核對所有資訊技術功能是否符合所有強制性立法和標準，以及政策是否得到明確界定、實施和執行。組織須考慮所有內部政策，包括使用資訊技術於電子郵件、行程表、網路蒐尋引擎等，以及業務執行及作業事項，包括文件及紀錄存取、收支與財務報表、組織業務機密及隱私性資訊保全等。

原則 6.--人類行為：資訊技術政策、實踐和決策應體現對人類行為因素的尊重，包括所有相關人員當前和未來的需求。僅以資訊技術人員可能的面向考量，例如：使用者界面的可使用性及友好性、使用者受到資訊技術帶來的業務過程變化及由此產生的需求等。管理階層須謹慎考量資訊技術的引入及實施，兼及從而產生的人類行為因素波動或衝擊，比照組織財務和人事管理方式，指導、評估及監督組織的資訊技術應用。

在 ISO 38500 的這六項原則中，每項原則都必須完成以下三項任務，才能有效實施和執行，這就是所謂的 ISO/IEC 38500 模式。

ISO/IEC 38500 治理模式

該標準推薦的模式不同於ISO 9001的PDCA模式，而是反映出資訊技術的組織良好管理實務。組織宜考量企業所處的產業環境、商業壓力、顧客需求、企業治理所需的資訊與通訊技術，靈活運用前述六個治理原則，規劃實施政策、資訊與通訊技術應用在商業過程、彌補差距、檢討建議方案、監督實施效果及持續改進。

管理階層必須通過構成本標準模型的三個具體要素管理資訊與通訊技術。

1. 評估：係指檢查和判斷資訊技術當前和未來的使用情况，包括策略、建議和協議。
2. 指導：管理階層必須負責正確地實施資訊技術計劃和政策，分配責任。主要目的是在組織內部培養一種良好的資訊技術管理文化。
3. 監督：管理階層須通過量測系統監督，其目的是查核 IT績效是否達到規劃和業務目標。

原則與治理模式之間的關係

一旦確定了原則和管理模式，該標準就為實施原則所需的做法提供一般性指導。為此，標準確定了原則與高層管理階層的三項基本任務（評估、指導和監督）之間的關係。

在任何情況下，每個組織都有責任根據該組織的性質，以及對使用資訊技術的風險和機遇的適當分析，確定實施該等原則所需的具體措施。

原則和任務矩陣 

ISO/IEC 38500 vs ITIL

由基本性質看來，ISO/IEC 38500 是一種國際標準，而資訊技術基礎架構庫 (Information Technology Infrastructure Library， ITIL )規範是一套產業界現今實務文件，而非國際標準，雖然兩者都為使用者提供了良好管理資訊技術資源的工具，從而為企業增加價值，但 ITIL 提出的是一種工作方式，做為一種建議，而非要求或指令，而 ISO/IEC 38500 則供組織遵守標準制訂的 6 項原則及3個要素，以便組織能夠加以運用，實施資訊技術治理系統。

兩者的共同點是，必須制定企業策略，以便在企業中進行創新，從競爭對手中脫穎而出，從而取得相對優勢。

詞彙

可接受的：企及利益相關者期許，當期許係以合理或理所當然方式展現時。
當責：對措施，決策和績效帶有責任。
當責性：當責的狀態。
公司治理：通過該系統指導和管制公司。
指導：傳達所期許的目的及結果。
評估：考慮並做出知情判斷。
執行經理人：擁有治理機構授權的權責，實施策略和政策，從而實現組織的目的。
治理：指導和管制的系統。
治理機構：組織的績效和一致性當責的人或數人。
資訊技術(IT)治理：指導和管制目前和未來使用資訊技術的系統。
人類行為：人類的互動、與系統其他元素之間的互動。
資訊技術（IT）：用於獲取，處理，儲存和廣為傳播資訊的資源。
投資：分配資源以實現既定的目標和其他利益。
管理：由治理建立的權限與當責範圍內行使管制和監督。
經理：負責管制和監督組織或部分組織的一群人。
監督：為了適當決策和調整的基礎所做的檢討。
組織：具有職責、權限和關以實現其目標的人或一群人。
組織治理：指導和管制組織的系統。
政策：正式表達的組織意圖和方向，由其治理機構或執行經理以相應權限行事。
提案：匯整收益、成本、風險、機會以及其他因素，適用於即將做出的決定。
資源：係指人員、程序、軟體、資訊、設備、消耗品、基礎設施、資本和營運資金及時間。
責任：採取行動及做出決定，以實現要求成果的義務。
風險：不確定性對目標的影響。
利害相關者：某項決定或活動可能影響、受到影響、或自認為受到影響的任何個人、團體或組織。
使用資訊技術(IT)：規劃、設計、開發、部署、營運、管理和應用資訊技術，從而為組織實現企業目標並創造價值。

結論

通過使用ISO/IEC 38500 標準，可以建立一個以指導、監督和評估為基礎的 資訊技術治理模式，其原則包括：責任、策略、獲取、績效、合規性和人類行為，如果該等原則、模式及流程得以正確執行，就可以實現資訊技術治理和企業目標。
該等六項原則是本標準基本足以實現組織內資訊技術資源的有效性和效率的關鍵。
公司治理可確保有效報告和遵守法律法規，並有助於避免聲譽受損或其潛在後果。

詳細內容參見標準原文。

本篇竟