IT Governance 국제표준, ISO/IEC 38500
- 정보처리기술사/경영, 컨설팅
- 2019. 12. 9.
ISO(International Organization for Standardization) /IEC(International Electrotechnical Commission)가 공동으로 발표한 IT 거버넌스의 국제 표준이 ISO/IEC 38500이다. 간혹 Cobit과 헷갈릴 수 있는데 38500은 국제 표준이고, Cobit은 표준이 아닌, 협회에서 만들어낸 프레임워크이다.
ISO/IEC 38500에서 제정되었지만, 많은 기업들은 38500 표준을 기준으로 Cobit 등과 같은 범용적인 프레임워크를 연계해서 진행하는 경우가 많은 것으로 사료된다. 참고로 Cobit은 ISACA(Information Systems Audit and Control Association)에서 만들어 낸 대표적인 IT 거버넌스의 프레임워크이다. (Cobit은 5.0 이후 2019년에 발표한 Cobit은 6.0 버전이 아니라 Cobit 2019로 명명하여 새로운 버전을 발표하였다)
IT 거버넌스의 국제표준, ISO/IEC 38500
ISO/IEC 38500 개념
- 기업을 운영하는 이사진들이 IT 활용을 평가/지휘/모니터링 할 수 있게 활용되도록 조직의 IT 활동의 통제를 위한 국제 표준
제정 목적
- 대부분 조직들이 IT를 기본적인 경영 도구로 활용
- IT 없이는 효과적으로 작동될 수 없음
- IT 비용은 조직의 재무/인적 자원의 상당 부문을 차지하고 있음
- ROI의 실현이 미흡하고 조직에 미치는 부정적인 영향이 클 수도 있음
- IT 활용을 전반적인 비즈니스 관점이 아니라 IT 활동의 기술, 재무, 일정에만 초점
프레임워크
- ISO/IEC 38500의 모델은 6가지의 원칙과 3가지의 단계가 존재
|
단계 |
설 명 |
|
평가(Evaluate) |
- 현재 및 미래의 IT활동을 평가 |
|
지휘(Direct) |
- IT활동이 경영목적을 충족할 수 있도록 계획/정책수립/구현을 지휘 |
|
모니터(Monitor) |
- IT활동 정책의 준수, 계획 대비 성과를 모니터링 |
IT 거버넌스 구현을 위한 원칙 및 지침
IT 거버넌스 구현을 위한 원칙
|
표준원칙 |
상세내용 |
|
책임(Responsibility) |
- 조직원들은 IT 제공/활용의 책임/권한 이해 및 수용 |
|
전략(Strategy) |
- 경영 전략은 IT 역량을 고려, IT 계획 조직요구 충족 |
|
획득(Acquisition) |
- IT 구매는 투명하고 타당하게 진행 |
|
성과(Performance) |
- IT는 조직의 요구/성과를 충족 |
|
준거(Conformance) |
- IT는 모든 규정/법규를 준수 |
|
행동(Human behavior) |
- IT는 인간행동 존중 |
IT 거버넌스 구현을 위한 지침
|
원칙 |
IT 거버넌스 지침 |
||
|
평가(valuate) |
지휘(Direct) |
모니터(monitor) |
|
|
책임 (Responsibility) |
- 책임할당, 대안평가 - 책임부여, 역량평가 |
- IT 책임 계획 실행 - 이사진 필요정보제공 |
- 매커니즘 수립확인 - 책임의 이해 및 수용 |
|
전략 (Strategy) |
- 프로세스 발전동향 - 조직목적, 프랙티스 - 이해관계 요구충족 |
- 계획,정책,수립,활용 - 기회,도전 대응,개선 신규제안 제출장려 |
- 가용자원 목적달성 - 기대효과 달성여부 |
|
획득 (Acquisition) |
- 투자위험, 가치균형 |
- 자산필요기능확보 - 문서작성 적절구매 - 공급계약 조직사업 |
- 구매요구기능제공 - 구매목적공통이해 |
|
성과 (Performance) |
- 기능용량 프로세스 - 지원, 제안수단 - 비즈니스 연속성 - 위험평가 - 효과성, 성과 |
- 우선 순위, 예산기반 - 니즈 충족 자원할당 - 정확 최신 정보제공 |
- 비즈니스 지원정도 - 할당자원 예산목적 - 우선순위 수립여부 - 데이터의 정확성 - 효율활용 정책준수 |
|
준거 (Conformance) |
- IT 책임 충족 정도 - 주기적 평가 - 내부준수 주기평가 |
- 책임표준 지침준수 - 정기일상 매커니즘 - 내부책임 충족정책 - 전문가윤리 수립집행 |
- IT준수 검토방법 - IT활동(자산,환경) |
|
행동 (Human Behavior) |
- 인간공학 요인식별 - 적절고려 IT활동 - 주기평가 |
- 인간공학적 요인 - 일관성유지목적 지휘 - 모든人 이슈제기가능 |
- 식별요인 유효성유지 - 적절한 주의 집중 - 작업 프랙티스 활용 |
ISO/IEC 38500 활용을 통한 효과 및 결론
ISO/IEC 38500 활용을 통한 효과
효과
|
내용 |
설명 |
준수
|
- 이사진이 IT의 활용에 대한 책임(법규, 계약) 준수를 지원 |
- 보안 표준, 프라이버시 법규, 스팸 법규, 상거래 법규, 지적재산권 - 기록 보존 요건, 환경 법규, 보건 및 안전 법규, 접근성 법규, 사회적 책임 표준 |
조직의 성과
|
- 이사진이 IT 활용이 조직의 성과에 기여하는 것을 지원 |
- 비즈니스 연속성 확보 - 자원의 효율적인 배분 - 서비스, 시장, 비즈니스의 혁신 - Best Practice를 장려 - 비용절감, ROI 실현 |
ISO/IEC 38500의 결론
1) IT 거버넌스의 중요성 증대
- IT 거버넌스의 국제표준 추진과정에 관심/참여
- 체계적인 IT관리체계 구축을 위해서는 이사진 대상으로한 IT 거버넌스 홍보/교육 필요
2) IT 거버넌스에 대비한 IT 관리체계 확립/정착
- ITSM, EA, IT Portfolio Management
- IT ROI, IT Asset Management
참고자료
연관자료
'정보처리기술사 > 경영, 컨설팅' 카테고리의 다른 글
| 중소기업 경쟁력 강화, 전자정부프레임워크(eGovFramework) (0) | 2019.12.09 |
|---|---|
| 21세기의 기업 생존 전략, 가상기업(Virtual Enterprise) (0) | 2019.12.09 |
| IT 거버넌스(IT Governance) (0) | 2019.12.09 |
| 저성장속의 신성장 모델 발굴을 위한, 넥서스 경영(Nexus Management) (0) | 2017.09.14 |
| 게임을 접목시킨 마케팅 전략, 게임화(Gamification) (0) | 2017.09.08 |