ISO/IEC 3850x - Die Normenreihe zur IT-Governance

摘要

In diesem Arbeitspapier wird die Norm "ISO/IEC 38500" beschrieben und analysiert. Die erste Ausgabe der Norm wurde im Juni 2008 als "ISO/IEC 38500:2008 Corporate governance of information technology" veruf6ffentlicht. Die zweite Ausgabe folgte im Februar 2015 als "ISO/IEC 38500:2015 Information technology - Governance of IT for the organization". Im Folgenden wird auf die institutionellen Hintergrufcnde, die wesentlichen Bestandteile der ISO/IEC 38500:2015, das grundlegende Modell und die Prinzipien zur IT-Governance sowie auf die aus der Verbindung von Prinzipien und Governance-Funktionen resultierenden Leitlinien zur Ausgestaltung der IT-Governance eingegangen. Auch werden die Entwicklung zur Normenreihe und die Zusammenhue4nge der einzelnen Dokumente dieser Reihe verdeutlicht. Die Bedeutung der ISO/IEC 38500: 2015 wird vor allem in der Trennung zwischen IT-Governance und IT-Management sowie dem damit verbundenen Modell der IT-Governance gesehen. Dieses Modell hat die drei Governance-Funktionen "Evaluate - Direct - Monitor" eingefufchrt, die auch in COBITuae 5 Eingang gefunden haben. Neben der ISO/ IEC 38500:2015 werden auch die technische Spezifikation "ISO/IEC TS 38501:2015" und der technische Report "ISO/IEC TR 38502:2014" behandelt. Die ISO/IEC TS 38501:2015 beschreibt als Implementierungsleitfaden einen zyklischen Implementierungsansatz mit drei Phasen, die jeweils detailliert dargestellt werden. Der ISO/IEC TR 38502:2014 beinhaltet im Wesentlichen die in die ISO/IEC 38500:2015 weitgehend identisch ufcbernommenen Begriffsdefinitionen sowie das Modell der IT-Governance. Daneben werden Vertiefungen zur Unterscheidung zwischen Governance und Management sowie ein Framework fufcr die IT-Governance behandelt. Im Vergleich der verschiedenen Dokumente (Norm, Report, Spezifikation) sind Unstimmigkeiten i. S. einer mangelnden Bezugnahme zu entdecken. Insbesondere die in der ISO/IEC 38500:2015 etablierte Struktur der Verbindung von Governance-Funktionen mit Prinzipien der IT-Governance wird im Report und in der Spezifikation nicht weiter als Analyse- und Bewertungsraster verwendet. Trotzdem stellen die Norm und die ergue4nzenden Dokumente ein Hilfsmittel fufcr die Praxis in der Ausgestaltung und stue4ndigen Verbesserung der IT-Governance dar. Standards zur Steuerung und udcberwachung der Unternehmens-IT, allen voran COBITuae, werden in ihrer Weiterentwicklung die ISO/IEC 3850x berufccksichtigen mufcssen.