この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
序文
ISO (国際標準化機構) と IEC (国際電気標準会議) は、世界標準化のための専門システムを形成しています。 ISO または IEC のメンバーである各国機関は、特定の技術活動分野に対処するためにそれぞれの組織によって設立された技術委員会を通じて国際規格の開発に参加しています。 ISO と IEC の技術委員会は、相互に関心のある分野で協力します。政府および非政府の他の国際機関も、ISO および IEC と連携してこの作業に参加しています。情報技術の分野では、ISO と IEC は共同技術委員会 ISO/IEC JTC 1 を設立しました。
この文書の作成に使用される手順と、そのさらなる保守を目的とした手順は、ISO/IEC 指令Part 1 部に記載されています。特に、さまざまなタイプの文書に必要なさまざまな承認基準に注意する必要があります。この文書は、ISO/IEC 指令Part 2 部の編集規則に従って起草されました ( www.iso.org/directives を参照)
この文書の要素の一部が特許権の対象となる可能性があることに注意してください。 ISO および IEC は、そのような特許権の一部またはすべてを特定する責任を負わないものとします。文書の作成中に特定された特許権の詳細は、序論および/または受け取った特許宣言の ISO リストに記載されます ( www.iso.org/patents を 参照)
本書で使用されている商号は、ユーザーの便宜のために提供された情報であり、推奨を構成するものではありません。
規格の自主的な性質、適合性評価に関連する ISO 固有の用語と表現の意味、および貿易の技術的障壁 (TBT) における世界貿易機関 (WTO) 原則への ISO の準拠に関する情報については、次の情報を参照してください。次の URL: www.iso.org/iso/foreword.html
この文書は、ISO/IEC JTC 1, 情報技術、SC 40 IT サービス管理および IT ガバナンスによって作成されました。
この第 2 版は、次の変更を含むマイナー改訂となる第 1 版 (ISO/IEC TR 38502:2014) を取り消し、置き換えます。
- 第 1 項「範囲」および定義 3.3「記入上の注記 2」の不適切な文言「しなければならない」は削除されました。
- 新しい条項 2「規範的参照」が挿入され、この文書には規範的参照が存在しないことを示し、結果として以下の条項および下位条項の番号が適切に変更されました。
- 第 3 項「用語と定義」の冒頭で、「ISO/IEC 38500:2015 に記載されている用語と定義」の適用可能性がさらに記載され、ISO および IEC 用語データベースへの標準参照も示されています。
- 第 3 条「用語と定義」 ISO/IEC 38500:2015 に記載されているすべての定義は削除され、残りの定義は番号が付け直されました。
- 図 1 は、パフォーマンス/適合性の矢印にアンパサンドを含めて更新され、ISO/IEC 38500:2015 の図 1 と同一になり、キャプションもこれを反映するように更新されました。
- ISO/IEC 38500 の参考文献 [1] は、現在のタイトル「情報技術 - 組織のための IT ガバナンス」を反映するように更新されました。
導入
新しい取り組みであれ、継続的な業務であれ、情報技術 (IT) の使用に対する投資の成功の尺度は、投資を行っている組織にそれがもたらされる利益です。
IT への投資による利益は、通常、取得またはサポートされた実際の IT から直接得られるものではありません。むしろ、実現されるメリットは、組織のニーズや要件を満たすためにテクノロジーを使用することによって可能になるビジネス活動の変化の結果です。組織は、IT の使用に関連するリスクを管理しながら、そのような投資からの価値を最大化する IT の戦略とサポート体制を必要としています。リスクには、必要な機能の提供の失敗、ビジネスの必要な利益の達成の失敗、ビジネスの中断、義務違反、規制違反、セキュリティの失敗、損失につながる IT の障害による組織への影響などが含まれます。データの量、ダウンタイムなど。
組織の IT 投資における課題の 1 つは、そのような投資や買収の決定がビジネス戦略、優先順位、ニーズに基づいて行われるようにすることです。したがって、組織のガバナンス責任者は、ビジネスにおける IT の使用に関連する意思決定を適切に監督し、関与し、そのような意思決定がビジネス戦略、リスク選好度、優先順位、ニーズに基づいていることを確認する必要があります。期待される利益を引き出すために必要な労力を特定し、理解する必要があります。
ISO/IEC 38500 [ 1] は、IT の需要と供給の適切なバランスが優れたガバナンスと管理の要件であり、組織のトップが主導する必要があることを認識しています。 ISO/IEC 38500 の目的は、組織における IT の使用を評価、指示、監視する際に、組織の統治機関にガイダンスを提供することです。
IT に適用されるガバナンスという用語の使用に関して、市場で混乱が見られる証拠があります。たとえば、ガバナンスという用語は、それ自体はガバナンスではありませんが、効果的なガバナンスの結果であり、効果的なガバナンスを実現するために必要な要素である管理システム、制御フレームワーク、および情報システムto 不適切に適用されることがよくあります。その結果、ガバナンスとマネジメントのそれぞれの役割について混乱が生じることが多く、これによりガバナンスに関する一貫したガイダンスの開発やガバナンス実践の効果的な実施が妨げられてきました。
この文書は、IT に関するガバナンスとマネジメントの概念の区別を明確にするために作成されました。これは、ガバナンスとマネジメントの関係を示すモデルを提供し、それぞれに関連付けられた責任を特定します。
1 スコープ
この文書は、組織内の IT の文脈におけるガバナンスとマネジメントの性質とメカニズム、およびそれらの間の関係についてのガイダンスを提供します。
このドキュメントの目的は、組織の現在および将来の IT 使用のガバナンスと管理の間の境界と関係を確立するために使用できるフレームワークとモデルに関する情報を提供することです。
この文書では、以下に関するガイダンスを提供します。
- 統治機関;
- ガバナンスによって確立された権限と責任の範囲内で働く管理者。
- アドバイザー、またはあらゆる規模や種類の組織のガバナンスを支援する人。他の
- IT のガバナンスと IT 管理の分野における標準の開発者。
2 規範的参照
この文書には規範的な参照はありません。
3 用語と定義
この文書の目的のために、ISO/IEC 38500 および以下に示されている用語と定義が適用されます。
ISO と IEC は、標準化に使用する用語データベースを次のアドレスで維持しています。
3.1
ガバナンスの枠組み
戦略、ポリシー、意思決定構造、組織のガバナンス体制を運用する責任
3.2
内部制御
ビジネス目標が達成され、望ましくないイベントが防止または検出および修正されることを合理的に保証するように設計されたポリシー、手順、慣行および組織構造。
3.3
マネジメントシステム
ポリシー、目標、およびそれらの目標を達成するためのプロセスを確立するための、相互に関連するまたは相互作用する組織の要素のセット
グレード 1 から入門:管理システムは、単一の分野または複数の分野に対応できます。
グレード 2 から入門:管理システムは、組織のガバナンス フレームワーク内で指定された戦略、構造、責任、説明責任の範囲内で運用されます。
[出典:ISO 9000:2015, 3.5.3, 修正 - 入力時の注記が修正されました。]
3.4
リスク選好度
組織が追求または保持するリスクの量と種類
[出典:ISO Guide 73:2009, 3.7.1.2]
参考文献
| 1 | ISO/IEC 38500, 情報技術 - 組織の IT ガバナンス |
| 2 | ISO Guide 73, リスク管理 — 語彙 |
| 3 | OECD コーポレートガバナンス原則、OECD, 1999 年および 2004 年 |
| 4 | ISO 9000:2015, 品質マネジメントシステム - 基礎と用語 |
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical Commission) form the specialized system for worldwide standardization. National bodies that are members of ISO or IEC participate in the development of International Standards through technical committees established by the respective organization to deal with particular fields of technical activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other international organizations, governmental and non-governmental, in liaison with ISO and IEC, also take part in the work. In the field of information technology, ISO and IEC have established a joint technical committee, ISO/IEC JTC 1.
The procedures used to develop this document and those intended for its further maintenance are described in the ISO/IEC Directives, Part 1. In particular the different approval criteria needed for the different types of document should be noted. This document was drafted in accordance with the editorial rules of the ISO/IEC Directives, Part 2 (see www.iso.org/directives ).
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent rights. ISO and IEC shall not be held responsible for identifying any or all such patent rights. Details of any patent rights identified during the development of the document will be in the Introduction and/or on the ISO list of patent declarations received (see www.iso.org/patents ).
Any trade name used in this document is information given for the convenience of users and does not constitute an endorsement.
For an explanation on the voluntary nature of standards, the meaning of ISO specific terms and expressions related to conformity assessment, as well as information about ISO's adherence to the World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT) see the following URL: www.iso.org/iso/foreword.html .
This document was prepared by ISO/IEC JTC 1, Information technology, SC 40 IT Service Management and IT Governance.
This second edition cancels and replaces the first edition (ISO/IEC TR 38502:2014) of which it constitutes a minor revision comprising the following changes:
- Clause 1 “Scope” and the definition 3.3 “Note 2 to entry” the inappropriate words “have to” have been deleted;
- a new Clause 2 “Normative references” has been inserted stating that there are no normative references in this document with the following clauses and sub-clauses appropriately renumbered as a consequence;
- at the beginning of Clause 3 “Terms and definitions” the applicability of “the terms and definitions given in ISO/IEC 38500:2015” is stated in addition and the standard referral to the ISO and IEC terminological databases is also given;
- Clause 3 “ Terms and definitions” all definitions given in ISO/IEC 38500:2015 have been deleted and the remaining definitions renumbered;
- Figure 1 has been updated to include an ampersand in the Performance/Conformance arrow making it identical with Figure 1 in ISO/IEC 38500:2015 and the caption has been updated to reflect this;
- the Bibliography reference [1] to ISO/IEC 38500 has been updated to reflect its current title “Information technology — Governance of IT for the organization”.
Introduction
The measure of success for any investment in the use of information technology (IT), whether for new initiatives or on-going operations, is the benefit that it brings to the organization making the investment.
Benefits from investment in IT are typically not derived directly from the actual IT acquired or supported. Rather, realized benefits are a result of changes in business activities enabled by the use of the technology to meet organizational needs or requirements. Organizations need strategies and support arrangements for IT which maximize the value from such investments while managing the risks associated with the use of IT. Risks comprise such things as the failure to deliver required capabilities, failure of the business to achieve the required benefits, and the impact on the organization from IT failures leading to business disruption, breach of obligations, regulatory non-compliance, failures of security, loss of data, down time, etc.
One of the challenges for organizational investment in IT is ensuring that such investment and acquisition decisions are based on business strategies, priorities and needs. Those responsible for governance of the organization should therefore have appropriate oversight and involvement in decisions related to the use of IT in the business, to ensure that such decisions are based on business strategies, risk appetite, priorities and needs. The effort required to derive the expected benefits should be identified and understood.
ISO/IEC 38500 [1] recognizes that the proper balance of demand and supply of IT is a requirement of good governance and management, which must be driven from the top of an organization. The objective of ISO/IEC 38500 is to provide guidance for the governing body of organizations when evaluating, directing and monitoring the use of IT in their organizations.
There is evidence of confusion in the market place regarding the use of the term governance when it applies to IT. For instance, there is often inappropriate application of the term governancetomanagement systems, control frameworks and information systems that are not, in themselves, governance, but which are both outcomes of, and necessary enablers for, effective governance. As a result, there is often confusion about the respective roles of governance and management, and this has hindered the development of consistent guidance in respect of governance and the effective implementation of governance practices.
This document has been developed to clarify the distinction between the concepts of governance and management in respect of IT. It provides a model that illustrates the relationship between governance and management, and identifies the responsibilities associated with each.
1 Scope
This document provides guidance on the nature and mechanisms of governance and management together with the relationships between them, in the context of IT within an organization.
The purpose of this document is to provide information on a framework and model that can be used to establish the boundaries and relationships between governance and management of an organization’s current and future use of IT.
This document provides guidance for:
- governing bodies;
- managers who work within the authority and accountability established by governance;
- advisors or those assisting in the governance of organizations of all sizes and types; and
- developers of standards in the areas of governance of IT and management of IT.
2 Normative references
There are no normative references in this document.
3 Terms and definitions
For the purposes of this document the terms and definitions given in ISO/IEC 38500 and the following apply.
ISO and IEC maintain terminological databases for use in standardization at the following addresses:
3.1
governance framework
strategies, policies, decision-making structures and accountabilities through which the organization’s governance arrangements operate
3.2
internal control
policies, procedures, practices and organizational structures designed to provide reasonable assurance that business objectives will be achieved and that undesired events will be prevented or detected and corrected
3.3
management system
set of interrelated or interacting elements of an organization to establish policies and objectives and processes to achieve those objectives
Note 1 to entry: A management system can address a single discipline or several disciplines.
Note 2 to entry: Management systems operate within the strategies, structures, responsibilities and accountabilities specified within the organization’s governance framework.
[SOURCE:ISO 9000:2015, 3.5.3, modified - The notes to entry have been modified.]
3.4
risk appetite
amount and type of risk that an organization is willing to pursue or retain
[SOURCE:ISO Guide 73:2009, 3.7.1.2]
Bibliography
| 1 | ISO/IEC 38500, Information technology — Governance of IT for the organization |
| 2 | ISO Guide 73, Risk management — Vocabulary |
| 3 | OECD Principles of Corporate Governance, OECD, 1999 and 2004 |
| 4 | ISO 9000:2015, Quality management systems — Fundamentals and vocabulary |