IT Governance 국제표준, ISO/IEC 38500

    ISO(International Organization for Standardization) /IEC(International Electrotechnical Commission)가 공동으로 발표한 IT 거버넌스의 국제 표준이 ISO/IEC 38500이다. 간혹 Cobit과 헷갈릴 수 있는데 38500은 국제 표준이고, Cobit은 표준이 아닌, 협회에서 만들어낸 프레임워크이다. 


    ISO/IEC 38500에서 제정되었지만, 많은 기업들은 38500 표준을 기준으로 Cobit 등과 같은 범용적인 프레임워크를 연계해서 진행하는 경우가 많은 것으로 사료된다. 참고로 Cobit은 ISACA(Information Systems Audit and Control Association)에서 만들어 낸 대표적인 IT 거버넌스의 프레임워크이다. (Cobit은 5.0 이후 2019년에 발표한 Cobit은 6.0 버전이 아니라 Cobit 2019로 명명하여 새로운 버전을 발표하였다)




    IT 거버넌스의 국제표준, ISO/IEC 38500

    ISO/IEC 38500 개념

    - 기업을 운영하는 이사진들이 IT 활용을 평가/지휘/모니터링 할 수 있게 활용되도록 조직의 IT 활동의 통제를 위한 국제 표준



    제정 목적

    • 대부분 조직들이 IT를 기본적인 경영 도구로 활용
    • IT 없이는 효과적으로 작동될 수 없음
    • IT 비용은 조직의 재무/인적 자원의 상당 부문을 차지하고 있음
    • ROI의 실현이 미흡하고 조직에 미치는 부정적인 영향이 클 수도 있음
    • IT 활용을 전반적인 비즈니스 관점이 아니라 IT 활동의 기술, 재무, 일정에만 초점



    프레임워크

    - ISO/IEC 38500의 모델은 6가지의 원칙과 3가지의 단계가 존재


    단계

    설 명

    평가(Evaluate)

    - 현재 및 미래의 IT활동을 평가

    지휘(Direct)

    - IT활동이 경영목적을 충족할 수 있도록 계획/정책수립/구현을 지휘

    모니터(Monitor)

    - IT활동 정책의 준수, 계획 대비 성과를 모니터링



    IT 거버넌스 구현을 위한 원칙 및 지침

    IT 거버넌스 구현을 위한 원칙

    표준원칙

    상세내용

    책임(Responsibility)

    - 조직원들은 IT 제공/활용의 책임/권한 이해 및 수용

    전략(Strategy)

    - 경영 전략은 IT 역량을 고려, IT 계획 조직요구 충족

    획득(Acquisition)

    - IT 구매는 투명하고 타당하게 진행

    성과(Performance)

    - IT는 조직의 요구/성과를 충족

    준거(Conformance)

    - IT는 모든 규정/법규를 준수

    행동(Human behavior)

    - IT는 인간행동 존중


    IT 거버넌스 구현을 위한 지침

    원칙

    IT 거버넌스 지침

    평가(valuate)

    지휘(Direct)

    모니터(monitor)

    책임

    (Responsibility)

    - 책임할당, 대안평가

    - 책임부여, 역량평가

    - IT 책임 계획 실행

    - 이사진 필요정보제공

    - 매커니즘 수립확인

    - 책임의 이해 및 수용

    전략

    (Strategy)

    - 프로세스 발전동향

    - 조직목적, 프랙티스

    - 이해관계 요구충족

    - 계획,정책,수립,활용

    - 기회,도전 대응,개선 신규제안 제출장려

    - 가용자원 목적달성

    - 기대효과 달성여부

    획득

    (Acquisition)

    - 투자위험, 가치균형

    - 자산필요기능확보

    - 문서작성 적절구매

    - 공급계약 조직사업

    - 구매요구기능제공

    - 구매목적공통이해

    성과

    (Performance)

    - 기능용량 프로세스

    - 지원, 제안수단

    - 비즈니스 연속성

    - 위험평가

    - 효과성, 성과

    - 우선 순위, 예산기반

    - 니즈 충족 자원할당

    - 정확 최신 정보제공

    - 비즈니스 지원정도

    - 할당자원 예산목적

    - 우선순위 수립여부

    - 데이터의 정확성

    - 효율활용 정책준수

    준거

    (Conformance)

    - IT 책임 충족 정도

    - 주기적 평가

    - 내부준수 주기평가

    - 책임표준 지침준수

    - 정기일상 매커니즘

    - 내부책임 충족정책

    - 전문가윤리 수립집행

    - IT준수 검토방법

    - IT활동(자산,환경)

    행동

    (Human Behavior)

    - 인간공학 요인식별

    - 적절고려 IT활동

    - 주기평가

    - 인간공학적 요인

    - 일관성유지목적 지휘

    - 모든 이슈제기가능

    - 식별요인 유효성유지

    - 적절한 주의 집중

    - 작업 프랙티스 활용



    ISO/IEC 38500 활용을 통한 효과 및 결론

    ISO/IEC 38500 활용을 통한 효과

    효과

    내용

    설명

    준수

    - 이사진이 IT의 활용에 대한 책임(법규, 계약) 준수를 지원

    - 보안 표준, 프라이버시 법규, 스팸 법규, 상거래 법규, 지적재산권

    - 기록 보존 요건, 환경 법규, 보건 및 안전 법규, 접근성 법규, 사회적 책임 표준

    조직의 성과

    - 이사진이 IT 활용이 조직의 성과에 기여하는 것을 지원

    - 비즈니스 연속성 확보

    - 자원의 효율적인 배분

    - 서비스, 시장, 비즈니스의 혁신

    - Best Practice를 장려

    - 비용절감, ROI 실현


    ISO/IEC 38500의 결론

    1) IT 거버넌스의 중요성 증대

    - IT 거버넌스의 국제표준 추진과정에 관심/참여

    - 체계적인 IT관리체계 구축을 위해서는 이사진 대상으로한 IT 거버넌스 홍보/교육 필요


    2) IT 거버넌스에 대비한 IT 관리체계 확립/정착

    - ITSM, EA, IT Portfolio Management

    - IT ROI, IT Asset Management



    참고자료


    연관자료


    댓글

    Designed by JB FACTORY