Versin traducida de ISO-IEC 385002008.

pdf
Pgina 1 INTERNACIONAL ISO / IEC NORMA 38500 Primera edicin 01/06/2008 El gobierno corporativo de la informacin tecnologa Gobernabilidad de Tecnologas de la informacin de l'entreprise par l' Nmero de referencia ISO / IEC 38500:2008 (E) ISO / IEC 2008 Pgina 2 ISO / IEC 38500:2008 (E) ii ISO / IEC 2008 - Todos los derechos reservados Pgina 3 ISO / IEC 38500:2008 (E) Contenido Pgina 1 mbito de aplicacin, aplicacin y objetivos ............................................ ................... 1 1.1 Alcance 1 1.2 Aplicacin 1 1.3 Objetivos 1 1.4 Ventajas de utilizar este estndar ............................................. ............................ 1 1.5 Documentos de referencia ................................................ ..................................... 3 1.6 Definiciones 3 2 MARCO PARA EL BUEN GOBIERNO CORPORATIVO DE TI ............................. 6 2.1 Principios 6 2.2 Modelo 7 3 ORIENTACIN PARA LA gobierno corporativo de TI ......................................... 9

3.1 General 9 3.2 Principio 1: Responsabilidad .............................................. .................................... 9 3.3 Principio 2: Estrategia de .............................................. ........................................... 11 3.4 Principio 3: Adquisicin de .............................................. ....................................... 12 3.5 Principio 4: Rendimiento .............................................. .................................... 13 3.6 Principio 5: Cumplimiento .............................................. ................................... 14 3.7 Principio 6: Comportamiento Humano ............................................. ............................. 15 ISO / IEC 2008 - Todos los derechos reservados iii Pgina 4 ISO / IEC 38500:2008 (E) Prefacio La ISO (International Organization for Standardization) e IEC (International Electrotcnica Internacional) forman el sistema especializado de normalizacin en todo el mundo. Los organismos nacionales que son miembros de ISO e IEC participan en el desarrollo de Normas Internacionales a travs de comits tcnicos establecidos por la respectiva la organizacin para hacer frente a determinados campos de la actividad tcnica. ISO y IEC tcnica comits de colaborar en mbitos de inters mutuo. Otras organizaciones internacionales, gubernamentales y no gubernamentales, en coordinacin con ISO e IEC, tambin participan en el trabajar. En el campo de la tecnologa de la informacin, ISO e IEC han establecido un conjunto de tcnicas comit, la norma ISO / IEC JTC 1. Las Normas Internacionales se redactan de acuerdo con las reglas establecidas en la norma ISO / IEC Directivas, Parte 2. La tarea principal del comit tcnico conjunto es preparar a los Normas Internacionales. Proyectos de Normas Internacionales adoptados por la junta tcnica Comit se distribuy a los organismos nacionales para votacin. La publicacin como internacional Requiere la aprobacin por al menos un 75% de los organismos nacionales con derecho a voto. Se llama la atencin a la posibilidad de que algunos de los elementos de este documento puede ser el tema de los derechos de patente. ISO e IEC no se hace responsable de identificar cualquier o todos los derechos de patente. ISO / IEC 38500 fue preparado por Standards Australia (como AS8015: 2005) y fue

adoptado, en virtud de un "procedimiento acelerado", por el Comit Tcnico Conjunto ISO / IEC JTC 1, Tecnologa de la informacin, en paralelo con su aprobacin por los organismos nacionales de ISO e IEC. ISO / IEC 38500 es un alto nivel, basado en principios estndar de asesoramiento. Adems de una orientacin amplia sobre el papel de un rgano rector, que alienta a las organizaciones utilizar los estndares apropiados para apoyar su gestin de las TI. Esfuerzos en el momento de publicacin de esta norma, JTC1 contina desarrollando ms documentos relativos a la gobernanza de la tecnologa de la informacin. Estos documentos, que Es probable que se publicar en el futuro como ISO / IEC informes tcnicos y, posiblemente, como Normas, se espera que abordar una serie de temas que incluyen: La gobernanza de los proyectos que implican inversin en TI La gobernanza de TI utilizados en operaciones comerciales en curso iv ISO / IEC 2008 - Todos los derechos reservados Pgina 5 ISO / IEC 38500:2008 (E) Introduccin El objetivo de esta norma es proporcionar un marco de principios para que los consejeros utilizar al evaluar, dirigir y supervisar el uso de la tecnologa de la informacin (TI) en sus organizaciones. La mayora de las organizaciones lo utilizan como una herramienta de trabajo fundamental y muy pocos pueden funcionar eficazmente sin ella. Tambin es un factor importante en los planes de negocio futuros de muchas organizaciones. El gasto en TI puede representar una proporcin significativa de los gastos de una organizacin de los recursos financieros y humanos. Sin embargo, un retorno de esta inversin no es a menudo se dio cuenta plenamente y los efectos adversos en las organizaciones puede ser significativo. Las principales razones de estos resultados negativos son el nfasis en los aspectos tcnicos, aspectos financieros y la programacin de las actividades de TI en lugar de nfasis en la totalidad contexto de negocios de TI usar. Esta norma proporciona un marco para la gestin eficaz de las TI, para ayudar a aquellos en el ms alto nivel de las organizaciones a entender y cumplir con sus obligaciones legales, regulatorios y ticos obligaciones relativas a la utilizacin de sus organizaciones de TI. El marco comprende

definiciones, principios y un modelo. Esta norma est alineada con la definicin de Gobierno Corporativo que se public como un informe de la Comisin sobre los aspectos financieros del gobierno corporativo (el Informe Cadbury) en 1992. El Informe Cadbury tambin proporcion la definicin de base de Gobierno Corporativo en los Principios de Gobierno Corporativo de la OCDE en 1999 (revisada en 2004). Los usuarios de esta norma se les anima a familiarizarse con el Informe Cadbury y los Principios de Gobierno Corporativo de la OCDE. La gobernabilidad es diferente de la gestin, y para evitar la confusin, los dos conceptos estn claramente definidos en la norma. Si bien esta norma est dirigida principalmente al rgano rector, que a su vez directa que ciertas acciones se tomarn por la gestin de la organizacin, sino que tambin permite que, en algunas organizaciones (por lo general ms pequeos), los miembros del Consejo de Administracin puede ocupan los roles clave en la gestin. De esta manera, se asegura que la norma es aplicable a todas las organizaciones, desde el ms pequeo, ms grande, con independencia del propsito, diseo y estructura de la propiedad. La norma tambin pretende informar y orientar a las personas involucradas en el diseo y implementacin del sistema de gestin de las polticas, procesos y estructuras que soportan gobierno. ISO / IEC 2008 - Todos los derechos reservados v Pgina 6 Pgina 7 NORMA INTERNACIONAL ISO / IEC 38500:2008 (E) El gobierno corporativo de las tecnologas de la informacin 1 mbito de aplicacin, aplicacin y objetivos 1.1 mbito de aplicacin Esta norma establece los principios rectores para los directores de las organizaciones (incluyendo propietarios, administradores Consejeros, directivos, socios, ejecutivos, o similar) en la eficiente, eficaz, y el uso aceptable de tecnologa de la informacin (TI) dentro de sus organizaciones. Esta norma se aplica a la gestin de los procesos de gestin (y decisiones) en relacin con los servicios de informacin y comunicacin utilizados por una organizacin. Estos procesos podran ser controlado por especialistas en TI dentro de la organizacin o los proveedores de servicios externos, o por unidades de negocio dentro de la organizacin. Tambin proporciona una gua para asesorar a las personas, informar, o ayudar a los directores. Estos incluyen:

 los altos directivos; miembros de los grupos de seguimiento de los recursos dentro de la organizacin; negocio externo o especialistas tcnicos, tales como legal o contable, especialistas, el comercio minorista asociaciones u organismos profesionales; los vendedores de hardware, software, comunicaciones y otros productos de TI; internos y externos de los proveedores de servicios (incluidos los consultores); Los auditores de TI. 1.2 mbito de aplicacin Esta norma es aplicable a todas las organizaciones, incluidas las empresas pblicas y privadas, del gobierno entidades y organizaciones sin fines de lucro. La norma es aplicable a organizaciones de todos los tamaos de el ms pequeo al ms grande, independientemente de su grado de uso de las TI. 1.3 Objetivos El propsito de esta norma es promover el uso eficaz, eficiente y aceptable de las TI en toda la las organizaciones mediante: las partes interesadas (incluidos los que garantizan a los consumidores, accionistas y empleados) que, si el norma se sigue, que puede tener la confianza en las empresas de la organizacin la gobernanza de la TI; informar y orientar a los directores en los que rige el uso de las TI en su organizacin; y proporcionar una base para la evaluacin objetiva del gobierno corporativo de TI. 1.4 Ventajas del uso de esta Norma General 1.4.1 Esta norma establece los principios para el uso eficaz, eficiente y aceptable de la misma. Asegurarse de que sus organizaciones siguen estos principios ayudar a ISO / IEC 2008 - Todos los derechos reservados 1 Pgina 8 ISO / IEC 38500:2008 (E) directores en el equilibrio entre riesgos y oportunidades derivados de alentar el uso de la misma. Esta norma establece un modelo para la gobernanza de TI. El riesgo de no cumplir con los directores sus obligaciones se ve mitigado por prestar la debida atencin al modelo en forma adecuada la aplicacin de la

principios. La norma establece un vocabulario para la gobernanza de TI. 1.4.2 Conformidad de la organizacin Buena gobernanza empresarial de las TI pueden ayudar a los directores para asegurar la conformidad con las obligaciones (Reglamentacin, legislacin, derecho consuetudinario, contractual) sobre el uso aceptable de la misma. La insuficiencia de los sistemas de TI pueden exponer a los directores para el riesgo de no cumplir con la legislacin. Por ejemplo, en algunas jurisdicciones, los directores pueden ser personalmente responsables si un la insuficiencia de los resultados del sistema de contabilidad en el impuesto no se paga. Los procesos relacionados con TI incorporen los riesgos especficos que deben ser abordados apropiadamente. Para ejemplo, los directores podran ser considerados responsables de las infracciones de: las normas de seguridad; privacidad legislacin; la legislacin de spam; las prcticas de la legislacin comercial; derechos de propiedad intelectual, incluidos los acuerdos de concesin de licencias de software; registrar los requisitos de mantenimiento; legislacin y reglamentacin ambiental; legislacin sobre salud y seguridad; accesibilidad de la legislacin; estndares de responsabilidad social. Directores con los lineamientos en esta norma son ms propensos a cumplir con sus obligaciones. 1.4.3 El rendimiento de la organizacin Buena gobernanza empresarial de las TI ayuda a los directores para asegurar que su uso contribuye positivamente al desempeo de la organizacin, a travs de: la aplicacin adecuada y el funcionamiento de los activos de TI; la claridad de la responsabilidad y la rendicin de cuentas tanto para el uso y la prestacin de IT en la consecucin de los objetivos de la organizacin;

 la continuidad del negocio y la sostenibilidad; la alineacin de TI con las necesidades del negocio; la asignacin eficiente de los recursos; innovacin en los servicios, los mercados y los negocios; buenas prcticas en las relaciones con las partes interesadas; reduccin en los costos de una organizacin, y realizacin efectiva de los beneficios aprobados de cada inversin en TI. 2 ISO / IEC 2008 - Todos los derechos reservados Pgina 9 ISO / IEC 38500:2008 (E) 1.5 Documentos de Referencia Los siguientes documentos se hace referencia en la presente Norma: Informe del Comit sobre los Aspectos Financieros del Gobierno Corporativo, Sir Adrian Cadbury, Londres, 1992 ISBN 0 85258 913 1 Principios de la OCDE de Gobierno Corporativo, OCDE, 1999 y 2004 Gua ISO 73 2002 - La gestin de riesgos - Terminologa - Lneas directrices para el uso en las normas. 1.6 Definiciones A los efectos de esta Norma, las definiciones que a continuacin se aplican. Se espera que una organizacin adaptar la terminologa utilizada en esta norma adapte a sus circunstancias o de la estructura. 1.6.1 Aceptable Satisfacer las expectativas de las partes interesadas que son capaces de mostrarse como razonable o merecido. 1.6.2 Gobierno corporativo El sistema por el cual las organizaciones son dirigidas y controladas. (Adaptado de Cadbury 1992 y la OCDE, 1999) 1.6.3 Gobierno corporativo de TI El sistema por el cual se dirige el uso actual y futuro de las TI y control. Gobierno corporativo de TI consiste en evaluar y dirigir el uso de TI para apoyar la organizacin y el seguimiento de su uso para lograr los planes. Incluye la estrategia y polticas para el uso de TI en una organizacin. 1.6.4 Competente Tener la combinacin de conocimientos, habilidades formales e informales, la formacin, la experiencia

y los atributos de comportamiento necesario para realizar una tarea o funcin. 1.6.5 Director Miembro del mximo rgano de gobierno de una organizacin. Incluye propietarios, administradores miembros, socios, ejecutivos o similares, y los funcionarios autorizados por la legislacin o regulacin. 1.6.6 El comportamiento humano La comprensin de las interacciones entre los seres humanos y otros elementos de un sistema con el la intencin de garantizar el bienestar y el desempeo de los sistemas. Humano ISO / IEC 2008 - Todos los derechos reservados 3 Pgina 10 ISO / IEC 38500:2008 (E) incluye el comportamiento de la cultura, necesidades y aspiraciones de las personas como individuos y como grupos. Nota: Con respecto a la informacin, existen numerosos grupos o comunidades de seres humanos, cada uno con su propias necesidades, aspiraciones y comportamientos. Por ejemplo, las personas que utilizan los sistemas de informacin podra exhibir las necesidades relacionadas con la accesibilidad y ergonoma, as como la disponibilidad y rendimiento. Las personas cuyas funciones laborales estn cambiando debido a la utilizacin de las TI puede exhibir las necesidades relativas a la comunicacin, la formacin, y seguridad. Las personas que participan en la construccin y que operan las capacidades de TI pueden exhibir las necesidades relativas a las condiciones de trabajo y el desarrollo de habilidades. 1.6.7 Tecnologa de la informacin (TI) Los recursos necesarios para adquirir, procesar, almacenar y difundir informacin. Este trmino tambin incluye la "Tecnologa de la Comunicacin (TC)" y la Informacin trmino compuesto "y Tecnologa de la Comunicacin (TIC) ". 1.6.8 Inversin La asignacin de capital humano, y otros recursos para alcanzar los objetivos definidos y otros beneficios. 1.6.9 Administracin El sistema de controles y procesos necesarios para alcanzar los objetivos estratgicos establecidos por el

rgano de gobierno de la organizacin. La gestin es conforme a la orientacin y supervisin de polticas establecer a travs de la gestin empresarial. 01/06/10 Organizacin Cualquier empresa, sociedad, gobierno, sin fines de lucro o de otra ndole legalmente constituida cuerpo, incluyendo asociaciones, clubes, asociaciones, agencias gubernamentales, compaas que cotizan en bolsa, privadas empresas y empresarios individuales que tiene su propia funcin (s) y la administracin. 01/06/11 Poltica Declaraciones claras y medibles de la direccin preferida y el comportamiento a la condicin de las decisiones que se toman dentro de una organizacin. 01/06/12 Propuesta Compilacin de los beneficios, costos, riesgos, oportunidades, y otros factores aplicables a las decisiones a hacerse. Incluye casos de negocios. 06/01/13 Recursos Las personas, procedimientos, software, informacin, equipos, consumibles, infraestructura, operativos y de capital, fondos y tiempo. 4 ISO / IEC 2008 - Todos los derechos reservados Pgina 11 ISO / IEC 38500:2008 (E) 1.6.14 Riesgo Combinacin de la probabilidad de un suceso y sus consecuencias (Gua ISO / IEC 73). Nota: Las consecuencias son los impactos sobre la organizacin. Ellos pueden ser negativos, como de uso comn, o de 'oportunidades' de uso comn. 01/06/15 Gestin del riesgo Actividades coordinadas para dirigir y controlar una organizacin en lo que respecta al riesgo (ISO / IEC Gua 73). 01/06/16 Las partes interesadas Cualquier individuo, grupo u organizacin que pueden afectar, ser afectados por, o percibir s mismos para ser afectado por una decisin o actividad (una adaptacin de la norma ISO / IEC Gua 73). 01/06/17 Estrategia Plan general de una organizacin de desarrollo, que describe el uso eficaz de los recursos en

el apoyo de la organizacin en sus actividades futuras. Se trata de la fijacin de objetivos y proponer iniciativas para la accin. 01/06/18 El uso de TI La planificacin, diseo, desarrollo, implementacin, operacin, manejo y aplicacin de las TI para satisfacer las necesidades de la empresa. Incluye tanto la demanda y la oferta, Servicios de TI por parte de las unidades de negocio internas, unidades especializadas de TI, o proveedores externos de servicios pblicos y servicios (como los que proporcionan el software como servicios). ISO / IEC 2008 - Todos los derechos reservados 5 Pgina 12 ISO / IEC 38500:2008 (E) 2 MARCO PARA EL BUEN GOBIERNO CORPORATIVO DE LAS TI 2.1 Principios Esta seccin establece seis principios para el buen gobierno corporativo de TI. Los principios son aplicables a la mayora de las organizaciones. Los principios expresan el comportamiento preferido para guiar la toma de decisiones. La declaracin de cada uno principio se refiere a lo que debera suceder, pero no prescribe cmo, cundo o por quin principios se llevara a cabo - como estos aspectos son dependientes de la naturaleza del organizacin de la aplicacin de los principios. Administracin deber exigir que estos principios son aplicado. 2.1.1 Principio 1: Responsabilidad Los individuos y grupos dentro de la organizacin a comprender y aceptar sus responsabilidades en relacin con la oferta y la demanda de TI. Los que tienen la responsabilidad de las acciones tambin tienen la autoridad para llevar a cabo esas acciones. 2.1.2 Principio 2: Estrategia La estrategia de la organizacin empresarial tiene en cuenta las capacidades actuales y futuras de TI, los planes estratgicos de TI satisfacer las necesidades actuales y en curso de la organizacin de la estrategia de negocio. 2.1.3 Principio 3: Adquisicin de TI adquisiciones se hacen por razones vlidas, sobre la base de un anlisis adecuado y permanente, con la decisin clara y transparente. Hay un equilibrio adecuado entre los beneficios, oportunidades, costos y riesgos, tanto en el corto y largo plazo. 2.1.4

Principio 4: Rendimiento Es apto para el propsito de apoyar a la organizacin, la prestacin de los servicios, los niveles de servicio y calidad de servicio requerida para satisfacer las necesidades empresariales actuales y futuras. 2.1.5 Principio 5: Cumplimiento Cumple con todas las leyes y reglamentos obligatorios. Las polticas y prcticas son claramente definidas, implementadas y aplicadas. 2.1.6 Principio 6: Comportamiento Humano Las polticas de TI, las prcticas y las decisiones de demostrar respeto por comportamiento humano, incluyendo el actual y la evolucin de las necesidades de todos los de la gente en el proceso ". 6 ISO / IEC 2008 - Todos los derechos reservados Pgina 13 ISO / IEC 38500:2008 (E) 2.2 Modelo Administracin gobernar las TI a travs de tres tareas principales: a) Evaluar el uso actual y futuro de las TI. b) la preparacin directa e implementacin de planes y polticas para garantizar que el uso de TI cumple con los objetivos de negocio. c) Supervisar la conformidad con las polticas y el desempeo contra los planes. La Figura 1 muestra el modelo de gobernanza de TI del ciclo de evaluar-en-Monitor. El texto despus de la Figura 1 se explican los elementos y relaciones representadas. Figura 1 Modelo de Gobierno Corporativo de las TI Evaluar Administracin debe examinar y hacer un juicio sobre el uso actual y futuro de las TI, incluyendo estrategias, propuestas y acuerdos de suministro (ya sean internas, externas, o ambas cosas). Al evaluar el uso de las TI, los directores deben considerar las presiones externas o internas que actan en el negocio, tales como el cambio tecnolgico, las tendencias econmicas y sociales, y polticos influencias. Administracin realizar la evaluacin continua, a medida que cambian las presiones. Los directores tambin deben tener en cuenta las necesidades del negocio actuales y futuros - la corriente y futuros objetivos de la organizacin que deben alcanzar, tales como el mantenimiento de la competencia ventaja, as como los objetivos especficos de las estrategias y propuestas que se estn evaluando. Direct

Administracin debe asignar la responsabilidad y la preparacin directa e implementacin de planes y polticas. Los planes deben fijar el rumbo de las inversiones en proyectos de TI y operaciones de TI. Las polticas deberan establecer un comportamiento racional en el uso de las TI. ISO / IEC 2008 - Todos los derechos reservados 7 Pgina 14 ISO / IEC 38500:2008 (E) Directores deben velar por que la transicin de los proyectos para el estado de funcionamiento es adecuada planificacin y gestin, teniendo en cuenta los impactos en el negocio y operativas prcticas, as como sistemas de TI existentes y la infraestructura. Administracin promueva una cultura de buen gobierno de las TI en su organizacin exigir a los administradores para proporcionar informacin oportuna, para cumplir con la direccin y para cumplir con los seis principios de buena gobernanza. Si es necesario, los directores deben dirigir a la presentacin de propuestas para su aprobacin para hacer frente a identificar las necesidades. Controlar Administracin debe supervisar, a travs de los sistemas de medicin apropiados, el rendimiento de las TI. Deben convencerse de que el rendimiento est en conformidad con los planes, en particular en relacin con los objetivos de negocio. Los directores tambin deben asegurarse de que cumple con las obligaciones externas (reglamentacin, la legislacin, el derecho consuetudinario, contractual) y las prcticas internas de trabajo. Nota: La responsabilidad de los aspectos especficos de la misma puede ser delegada a los administradores dentro de la organizacin. Sin embargo, la rendicin de cuentas y la eficacia, eficiencia de uso aceptable y la prestacin de IT de una organizacin se queda con el los directores y no se puede delegar. 8 ISO / IEC 2008 - Todos los derechos reservados Pgina 15 ISO / IEC 38500:2008 (E) 3 ORIENTACIN PARA LA gobierno corporativo de TI 3.1 General Las siguientes secciones proporcionan orientacin a los principios generales de buen gobierno de TI y las prcticas necesarias para aplicar los principios. Las prcticas descritas no son exhaustivas, pero ofrecen un punto de partida para la discusin de la responsabilidades de los directores de la gobernanza de TI. Es decir, las prcticas descritas son

directriz propuesta para Gobierno de TI. Es responsabilidad de cada organizacin, de forma individual, para identificar las acciones especficas necesaria para aplicar los principios, prestando la debida consideracin a la naturaleza del organizacin, y el correspondiente anlisis de los riesgos y oportunidades del uso de las TI. Como base para la ilustracin, las prcticas descritas son aplicables a la mayora de las organizaciones (Grande o pequea), la mayor parte del tiempo. Cualquier variacin debe ser bien considerado. 3.2 Principio 1: Responsabilidad Evaluar Administracin debe evaluar las opciones para la asignacin de responsabilidades con respecto a la uso actual y futuro de la organizacin de TI. En la evaluacin de opciones, los directores deben tratar de garantizar un uso efectivo, eficiente y aceptable y la entrega de la informacin en apoyo de la corriente y los futuros objetivos de negocio. Administracin debe evaluar la competencia de las responsabilidad que se da para tomar decisiones en relacin con las TI. Por lo general, estas personas deben ser los gerentes de empresas que tambin son responsable de los objetivos de negocio de la organizacin y funcionamiento, con la asistencia de TI especialistas que conocen los valores y procesos de negocio. Direct Administracin directa de que los planes se llevarn a cabo de acuerdo con el asignado TI responsabilidades. Administracin directa de que reciban la informacin que necesitan para satisfacer sus necesidades responsabilidades y de rendicin de cuentas. ISO / IEC 2008 - Todos los derechos reservados 9 Pgina 16 ISO / IEC 38500:2008 (E) Controlar Administracin debe supervisar que se lo apropian los mecanismos de gobierno son establecido. Administracin debe vigilar que las personas la responsabilidad dada reconoce y entiende sus responsabilidades. Administracin debe supervisar el desempeo de aquellos que tienen responsabilidad dada en el gobierno de TI (Por ejemplo, aquellas personas que trabajen en los comits de direccin o en la presentacin de propuestas para directores).

10 ISO / IEC 2008 - Todos los derechos reservados Pgina 17 ISO / IEC 38500:2008 (E) 3.3 Principio 2: Estrategia Evaluar Administracin evaluar la evolucin de TI y procesos de negocio para asegurar que va a prestar apoyo a las necesidades futuras del negocio. Al examinar los planes y polticas, los directores de TI deben evaluar las actividades para asegurarse de que alinee con los objetivos de la organizacin para la evolucin de las circunstancias, tener consideracin de una mejor prcticas y satisfacer otras necesidades de los interesados clave. Directores deben velar por que la utilizan estn sometidos a una evaluacin adecuada del riesgo y la evaluacin, como se describe en las normas internacionales y nacionales. Direct Administracin debe dirigir la preparacin y uso de planes y polticas que aseguren la la organizacin se beneficia de la evolucin de las TI. Directiva debe favorecer asimismo la presentacin de propuestas para usos innovadores de TI que que la organizacin pueda responder a nuevas oportunidades o desafos, emprender nuevos negocios o mejorar los procesos. Controlar Directores deben monitorear el progreso de las propuestas aprobadas de TI para asegurarse de que son logro de los objetivos en los plazos requeridos mediante los recursos asignados. Administracin debe supervisar el uso de las TI para asegurarse de que est alcanzando sus beneficios esperados. ISO / IEC 2008 - Todos los derechos reservados 11 Pgina 18 ISO / IEC 38500:2008 (E) 3.4 Principio 3: Adquisicin de Evaluar Administracin debe evaluar las opciones para proporcionar TI a darse cuenta de las propuestas aprobadas, el equilibrio riesgos y la rentabilidad de las inversiones propuestas. Direct Administracin debe indicar que los activos de TI (sistemas e infraestructura) se adquieran de manera apropiada, incluyendo la preparacin de la documentacin adecuada, asegurando al mismo tiempo que capacidades que se requieran. Administracin debe indicar que los acuerdos de suministro (incluido el suministro interno y externo

arreglos) apoyar las necesidades del negocio de la organizacin. Controlar Administracin de TI supervisar las inversiones para asegurarse de que proporcionan la necesaria capacidades. Administracin debe supervisar la medida en que su organizacin y los proveedores de mantener la comprensin compartida de la intencin de la organizacin en la toma de cualquier adquisicin de TI. 12 ISO / IEC 2008 - Todos los derechos reservados Pgina 19 ISO / IEC 38500:2008 (E) 3.5 Principio 4: Rendimiento Evaluar Directores deben evaluar los medios propuestos por los administradores para asegurar que apoyar los procesos de negocio con la capacidad requerida y la capacidad. Estas propuestas deben abordar el mantenimiento normal de la empresa y el tratamiento del riesgo asociado con el el uso de TI. Directores deben evaluar los riesgos para la continuidad del funcionamiento del negocio que surja de las actividades de TI. Directores deben evaluar los riesgos a la integridad de la informacin y la proteccin de los Los activos de TI, incluida la propiedad intelectual y la memoria asociada a la organizacin. Administracin debe evaluar las opciones para asegurar tomas de decisiones eficaces y oportunas sobre el uso de las TIC en apoyo de los objetivos de negocio. Directores deben evaluar regularmente la eficacia y el rendimiento de la organizacin de sistema de gobernanza de la TI. Direct Directores deben velar por la asignacin de recursos suficientes para que cumpla con las necesidades de la organizacin, de acuerdo a las prioridades acordadas y las restricciones presupuestarias. Directores deben dirigir a los responsables a asegurar que TI soporta el negocio, cuando necesario por razones de negocios, con datos correctos y actualizados, que est protegido de la prdida o mal uso. Controlar Administracin debe supervisar la medida en que es compatible con el negocio. Administracin debe supervisar la medida en que los recursos asignados y los presupuestos se priorizan de acuerdo a los objetivos de negocio. Administracin debe supervisar la medida en que las polticas, como la exactitud de los datos de y el uso eficiente de las TI, se siguen correctamente.

 ISO / IEC 2008 - Todos los derechos reservados 13 Pgina 20 ISO / IEC 38500:2008 (E) 3.6 Principio 5: Cumplimiento Evaluar Directores de evaluar regularmente el grado en que cumple con las obligaciones (Reglamentacin, legislacin, derecho consuetudinario, contractual), las polticas internas, normas y profesional de las directrices. Directores deben evaluar peridicamente la conformidad interna de la organizacin de su sistema para la Gobernabilidad de TI. Direct Directores deben dirigir a los responsables de establecer mecanismos regulares y de rutina para asegurando que el uso de las TI cumpla con las obligaciones pertinentes (legislacin reguladora, y comunes ley, contractual), las normas y directrices. Administracin directa de que las polticas se establezcan y apliquen para que el organizacin para cumplir con sus obligaciones internas en el uso de las TI. Administracin debe indicar que el personal de TI siga las directrices pertinentes para la conducta profesional y el desarrollo. Administracin debe indicar que todos los actos relativos a la TI sea tico. Controlar Administracin de TI vigilar el cumplimiento y conformidad a travs de informes adecuada y las prcticas de auditora, lo que garantiza que las revisiones sean oportunas, integrales y adecuados para la evaluacin del grado de satisfaccin de la empresa. Administracin de TI supervisar las actividades, incluida la eliminacin de los activos y datos, para asegurarse de que del medio ambiente, la privacidad, gestin estratgica del conocimiento, la preservacin de la organizacin la memoria y otras obligaciones pertinentes que se cumplan. 14 ISO / IEC 2008 - Todos los derechos reservados Pgina 21 ISO / IEC 38500:2008 (E) 3.7 Principio 6: Comportamiento Humano Evaluar Administracin de TI evaluar las actividades para asegurar que los comportamientos humanos se identifican y debidamente en cuenta. Direct Administracin debe indicar que las actividades de TI son consistentes con el comportamiento humano identificado.

Administracin debe indicar que los riesgos, oportunidades, problemas y preocupaciones se pueden identificar y reportado por cualquiera en cualquier momento. Estos riesgos deben ser manejados de acuerdo con public las polticas y procedimientos, y escal a los que toman las decisiones pertinentes. Controlar Administracin de TI supervisar las actividades para asegurar que los comportamientos humanos identificados siguen siendo pertinentes y que se preste la debida atencin a ellos. Administracin debe supervisar las prcticas de trabajo para asegurar que son consistentes con la el uso apropiado de las TI. ISO / IEC 2008 - Todos los derechos reservados 15