ISO 38500 – Governança da TI para a organização
ISO 38500 – O que é?
Esta Norma é um norma orientativa, de alto nível e com base em princípios. Além de fornecer uma ampla orientação sobre o papel de uma estrutura de governança, incentiva as organizações a usar normas apropriadas para apoiar sua governança da TI. O objetivo desta Norma é fornecer princípios, definições e um modelo para estruturas de governança utilizarem ao avaliar, direcionar e monitorar o uso de tecnologia da informação (TI) em suas organizações. A boa governança da TI também auxilia as estruturas de governança a assegurarem a conformidade com as obrigações (regulamentares, legislativas, contratuais) quanto ao uso aceitável da TI.
- Responsabilidade
- Estratégia
- Aquisição
- Desempenho
- Conformidade
- Comportamento Humano
A boa governança da TI ajuda os órgãos governamentais a garantir que o uso da TI contribua positivamente para o desempenho da organização, por meio de:
- inovação em serviços, mercados e negócios;
- alinhamento da TI com as necessidades da empresa;
- implementação e operação apropriadas de ativos de TI;
- clareza da responsabilidade e responsabilização pelo fornecimento e demanda de TI na consecução dos objetivos da organização;
- continuidade do negócio e sustentabilidade;
- alocação eficiente de recursos;
- boas práticas nos relacionamentos com as partes interessadas; e
- realização efetiva dos benefícios esperados de cada investimento de TI.
ISO 38500 com a ASR
- Diagnóstico Inicial
- Plano de ações
- Palestra/ Workshop
- Consultoria
- Definição de processos
- Conscientização e institucionalização
- Documentação de políticas, diretrizes e procedimentos
- Avaliação de Monitoramento
1. Kick-off
- Definição de escopo
- Cronograma macro
- Conscientização
Diagnóstico Inicial
Avaliação da situação atual
- Políticas, diretrizes
- Planejamento estratégico de TI
- Gestão de aquisição
- Avaliação de desempenho
- Auditorias para verificação de conformidade
- Mecanismos de capacitação
Planejamento
- Plano de ações
- Recursos humanos e materiais
- Cronograma
- Comunicação
- Indicadores
Implementação
Definição (consultoria) e formalização (documentação) de processos
- Políticas e diretrizes
- Termo de confidencialidade e sigilo
- Procedimentos
- Controles
Capacitação
Conscientização (treinamento) nos processos definidos.
Avaliação de monitoramento
- Verificação de evidências
- Entrevistas com colaboradores
- Relatório de avaliação de riscos de segurança