UMG-Seguridad de Sistemas

Daniel Estuardo Rojas

1590-08-14380

ISO / IEC 38500: 2008 (E)

Prefacio
La ISO (Organizacin Internacional de Normalizacin) e IEC (Internacional
Comisin Electrotcnica) forman el sistema especializado para la
normalizacin en todo el mundo.Los organismos nacionales que son
miembros de ISO e IEC participan en el desarrollo de Normas Internacionales
a travs de comits tcnicos establecidos por la respectiva.
Organizacin para resolver los campos particulares de la actividad
tcnica. ISO e IEC tcnica comits colaboran en campos de inters
mutuo. Otras organizaciones internacionales, gubernamentales y no
gubernamentales, en coordinacin con la ISO y la IEC, tambin participan en
eltrabajo. En el campo de la tecnologa de la informacin, ISO e IEC han
establecido una tcnica conjunta comit, ISO / IEC JTC 1.
Las Normas Internacionales se redactan de acuerdo con las reglas establecidas
en la norma ISO / IEC
Directivas, Parte 2. La tarea principal del comit tcnico conjunto es preparar
Estndares internacionales. Los proyectos de normas internacionales
aprobadas por la tcnica conjunta
comit se distribuy a los organismos nacionales para su votacin. La
publicacin como Internacional
Norma requiere la aprobacin por al menos el 75% de los organismos
nacionales con derecho a voto.
Se llama la atencin a la posibilidad de que algunos de los elementos de este
documento puedan estar
el tema de los derechos de patente. ISO e IEC no se hace responsable de
identificar cualquiero todos los derechos de patente.
ISO / IEC 38500 fue preparada por Standards Australia (como AS8015: 2005)
y fue
adoptado, en virtud de un "procedimiento abreviado", por Joint Comit
Tcnico ISO / IEC JTC 1,
Tecnologa de la informacin, de forma paralela a su aprobacin por los
organismos nacionales de ISO e IEC.
ISO / IEC 38500 es un nivel alto, los principios estndar de asesoramiento
basado. Adems de
proporcionar una orientacin general sobre la funcin de un rgano de
gobierno, fomenta
organizaciones utilicen las normas apropiadas para aprovechar su gobierno de
TI.
En el momento de publicacin de esta norma, JTC1 contina esfuerzos para
seguir desarrollando
documentos relativos al gobierno de la informtica. Estos documentos, que

UMG-Seguridad de Sistemas

Daniel Estuardo Rojas

1590-08-14380

es probable que sea lanzado en el futuro como informes tcnicos ISO / IEC y,
posiblemente, como
Normas, se espera que para hacer frente a una amplia gama de temas,
incluyendo:

Gobernabilidad de proyectos que implican la inversin en TI

El gobierno de TI utilizan en operaciones comerciales en curso

iv
ISO / IEC 2008 - Todos los derechos reservados
ISO / IEC 38500: 2008 (E)
Introduccin
El objetivo de esta norma es proporcionar un marco de principios para que los
consejeros
utilizar al evaluar, dirigir y supervisar el uso de tecnologa de la informacin
(IT)
en sus organizaciones.
La mayora de las organizaciones lo utilizan como una herramienta de trabajo
fundamental y muy pocos pueden funcionar
efectivamente sin ella. Es tambin un factor importante en los futuros planes
de negocio de
muchas organizaciones.
El gasto en TI puede representar una proporcin significativa de los gastos de
una organizacin
de los recursos financieros y humanos. Sin embargo, un retorno de esta
inversin no es a menudo
se dieron cuenta plenamente y los efectos adversos sobre las organizaciones
pueden ser significativos.
Las principales razones de estos resultados negativos son el nfasis en la
tcnica,
aspectos financieros y de programacin de las actividades de TI en lugar de
nfasis en el conjunto
contexto de negocios de usarlo.
Esta norma proporciona un marco para la gobernabilidad efectiva de TI, para
ayudar a los que estn en el
ms alto nivel de las organizaciones a entender y cumplir con sus obligaciones
legales, regulatorios y ticos
obligaciones relativas a la utilizacin de las TI de sus organizaciones. Los
comprende marco
definiciones, principios y un modelo.
Esta norma est alineada con la definicin de gobierno corporativo que se
public
como un informe de la Comisin sobre los aspectos financieros de la gestin
de las empresas (el

UMG-Seguridad de Sistemas

Daniel Estuardo Rojas

1590-08-14380

Informe Cadbury) en 1992. El Informe Cadbury tambin proporcion la

definicin de fundacin
El gobierno corporativo en los Principios de la OCDE para el gobierno
corporativo en 1999 (revisada
en 2004). Se anima a los usuarios de esta norma se familiaricen con el
Informe Cadbury y los Principios de la OCDE para el gobierno corporativo.
La gobernabilidad es diferente de la gestin, y para evitar la confusin, los dos
conceptos estn claramente definidos en la norma.
Si bien esta norma se dirige principalmente al rgano de gobierno, lo que a su
vez pueden dirigir
que ciertas acciones tomadas por la direccin de la organizacin, sino que
tambin permite que,
algunas organizaciones (tpicamente ms pequeos), los miembros del rgano
de gobierno tambin puede
ocupar las funciones clave en la gestin. De esta manera, se asegura que el
estndar es
aplicable a todas las organizaciones, desde el ms pequeo, al ms grande,
independientemente de ello,
diseo y estructura de la propiedad.
La norma tambin tiene por objeto informar y guiar a los implicados en el
diseo y
la implementacin del sistema de gestin de las polticas, los procesos y las
estructuras que soportan
gobernancia.
ISO / IEC 2008 - Todos los derechos reservados
ESTNDAR INTERNACIONAL
ISO / IEC 38500: 2008 (E)
Gobierno corporativo de las tecnologas de la informacin
1 MBITO, APLICACIN Y OBJETIVOS
1.1 Alcance
Esta norma proporciona los principios rectores de los directores de las
organizaciones (incluidos los propietarios, tabla
miembros, directores, socios, ejecutivos de alto nivel, o similares) sobre la
eficacia, eficiencia y
el uso aceptable de tecnologa de la informacin (TI) dentro de sus
organizaciones.
Esta norma se aplica a la gestin de los procesos de gestin (y decisiones) en
relacin con
los servicios de informacin y de comunicacin utilizados por una
organizacin. Estos procesos podran
ser controlados por especialistas dentro de los proveedores de servicios de
organizacin o externa, o por
unidades de negocio dentro de la organizacin.

UMG-Seguridad de Sistemas

Daniel Estuardo Rojas

1590-08-14380

Tambin proporciona una gua para aquellos asesorar, informar, o ayudar a los
directores. Ellos incluyen:

Altos directivos;

miembros de grupos de vigilancia de los recursos dentro de la organizacin;

comerciales o tcnicos especialistas externos, tales como legal o

contable; especialistas, venta al por menor
asociaciones u organismos profesionales;

vendedores de hardware, software, comunicaciones y otros productos de TI;

proveedores de servicios internos y externos (incluidos los consultores);

Los auditores de TI.

1.2 Aplicacin
Esta norma es aplicable a todas las organizaciones, incluidas las pblicas y las
empresas privadas, el gobierno
entidades y organizaciones sin nimo de lucro. La norma es aplicable a las
organizaciones de todos los tamaos de
la ms pequea hasta la ms grande, independientemente de la extensin de su
uso de la TI.
1.3 Objetivos
El propsito de esta norma es promover el uso eficaz, eficiente y aceptable de
TI en toda
las organizaciones mediante:

asegurando las partes interesadas (incluidos los consumidores, accionistas y

empleados) que, si el
estndar se realiza, pueden tener confianza en las empresas de la organizacin
el gobierno de TI;

informar y guiar a los directores en que rige el uso de las TI en su

organizacin;
y

proporcionando una base para la evaluacin objetiva del gobierno corporativo

de TI.

1.4
Ventajas del uso de esta Norma
1.4.1 Consideraciones generales

UMG-Seguridad de Sistemas

Daniel Estuardo Rojas

1590-08-14380

Esta norma establece los principios para el uso eficaz, eficiente y aceptable de
TI.
Asegurar que sus organizaciones siguen estos principios ayudarn
ISO / IEC 2008 - Todos los derechos reservados
ISO / IEC 38500: 2008 (E)
directores en el equilibrio de los riesgos y el fomento de las oportunidades que
surgen del uso de la misma.
Esta norma establece un modelo para el gobierno de TI. El riesgo de no
cumplir con los directores
sus obligaciones son mitigados por prestar la debida atencin al modelo al
aplicar adecuadamente el
principios.
La norma establece un vocabulario para la gobernanza de TI.
1.4.2
La conformidad de la organizacin
Gobierno corporativo adecuado de TI puede ayudar a los directores para
asegurar la conformidad con las obligaciones
(normativa, legislacin, derecho comn, contractual) en relacin con el uso
aceptable de TI.
La insuficiencia de los sistemas de TI pueden exponer a los directores para el
riesgo de no cumplir con la legislacin.
Por ejemplo, en algunas jurisdicciones, los directores podran ser considerados
responsables personalmente si una
la insuficiencia de los resultados del sistema de contabilidad de impuestos no
se pagan.
Procesos relacionados con TI incorporan los riesgos especficos que deben ser
abordados de manera apropiada. por
ejemplo, los directores podran ser considerados responsables de las
infracciones de:

normas de seguridad;

la legislacin de privacidad;

la legislacin correo no deseado;

prcticas comerciales legislacin;

los derechos de propiedad intelectual, incluidos los acuerdos de licencia de

software;

requisitos de mantenimiento de registros;

legislacin y reglamentacin ambiental;

UMG-Seguridad de Sistemas

Daniel Estuardo Rojas

1590-08-14380

la legislacin sobre salud y seguridad;

leyes sobre accesibilidad;

los estndares de responsabilidad social.

Directores utilizando las directrices de esta norma son ms propensos a
cumplir con sus obligaciones.
1.4.3
Desempeo de la organizacin
Gobierno corporativo adecuado de TI ayuda a los directores para asegurar que
el uso de TI contribuye
positivamente con el desempeo de la organizacin, a travs de:

implementacin y operacin de los activos de TI adecuada;

la claridad de la responsabilidad y la rendicin de cuentas, tanto para el uso y

disposicin de las TI en
el logro de los objetivos de la organizacin;

la continuidad del negocio y la sostenibilidad;

alineacin de TI con las necesidades empresariales;

asignacin eficiente de los recursos;

innovacin en los servicios, mercados y negocios;

buenas prcticas en las relaciones con las partes interesadas;

reduccin de los costes para una organizacin; y

realizacin efectiva de los beneficios aprobados de cada inversin en TI.

2
ISO / IEC 2008 - Todos los derechos reservados
ISO / IEC 38500: 2008 (E)
1.5 Documentos de referencia
Los siguientes documentos se denominan en la presente Norma:
Informe del Comit sobre los aspectos financieros de la gestin corporativa,
Sir Adrian Cadbury,
Londres, 1992 ISBN 0 85258 913 1
OCDE Principios de Gobierno Corporativo, OCDE, 1999 y 2004
Gua ISO 73 2002 - Gestin del riesgo - Vocabulario - Directrices para el uso
en las normas.

UMG-Seguridad de Sistemas

Daniel Estuardo Rojas

1590-08-14380

1.6 Definiciones
A los efectos de esta norma, se establecen las siguientes definiciones.
Se espera que una organizacin se adaptar la terminologa utilizada en esta
norma
se adapte a sus circunstancias o estructura.
1.6.1
Aceptable
Cumplir con las expectativas de las partes interesadas que son capaces de ser
mostrado en forma razonable merecido.
1.6.2
El gobierno corporativo
El sistema por el que las organizaciones son dirigidas y controladas. (adaptado
de Cadbury 1992
y la OCDE 1999)
1.6.3
Gobierno corporativo de TI
El sistema por el cual el uso actual y futuro de las TI se dirige y controla.
Gobierno corporativo de TI implica evaluar y dirigir el uso de TI para apoyar
la organizacin y el seguimiento de este uso para lograr los planes. Incluye la
estrategia y
polticas para el uso de TI dentro de una organizacin.
1.6.4
Competente
Tener la combinacin de conocimientos, habilidades formales e informales, la
formacin, la experiencia
y los atributos de comportamiento necesarios para realizar una tarea o funcin.
1.6.5
Director
Miembro del mximo rgano de gobierno de una organizacin. Incluye
propietarios, tabla
miembros, socios, directivos o similares, y los funcionarios autorizados por la
legislacin o
regulacin.
1.6.6
Comportamiento humano
La comprensin de las interacciones entre los seres humanos y otros
elementos de un sistema con el
intencin de asegurar el bienestar y el rendimiento de los sistemas. Humano
ISO / IEC 2008 - Todos los derechos reservados
3

ISO / IEC 38500: 2008 (E)

UMG-Seguridad de Sistemas

Daniel Estuardo Rojas

1590-08-14380

comportamiento incluye la cultura, las necesidades y aspiraciones de las

personas como individuos y como grupos.
Nota: Con respecto a las TI, hay numerosos grupos o comunidades de seres
humanos, cada uno con su
propias necesidades, aspiraciones y comportamientos. Por ejemplo, las
personas que utilizan los sistemas de informacin
podra exhibir las necesidades relacionadas con la accesibilidad y ergonoma,
as como la disponibilidad y
actuacin. Las personas cuyos papeles de trabajo estn cambiando debido a la
utilizacin de las tecnologas podran exhibir
necesaria en relacin con la comunicacin, la formacin y tranquilidad. Las
personas que participan en la construccin y
capacidades de TI operativo podran exhibir las necesidades relativas a las
condiciones de trabajo y el desarrollo de
habilidades.
1.6.7
Tecnologa de la informacin (IT)
Los recursos necesarios para adquirir, procesar, almacenar y difundir
informacin. Este trmino tambin
incluye "Tecnologa de la Comunicacin (TC)" y el trmino compuesto
"Informacin y
Tecnologa de la Comunicacin (TIC) ".
1.6.8
Inversin
Asignacin de recursos humanos, capital y otros recursos para lograr los
objetivos y otra definida
beneficios.
1.6.9
administracin
El sistema de controles y procesos necesarios para alcanzar los objetivos
estratgicos fijados por el
rgano de gobierno de la organizacin. Gestin est sujeta a la direccin y
supervisin de polticas
establecido a travs de la gestin empresarial.
1.6.10
Organizacin
Cualquier empresa, corporacin, gobierno, sin fines de lucro u otro organismo
legalmente constituido incluidos
asociaciones, clubes, asociaciones, agencias gubernamentales, compaas
pblicas y privadas
empresas y empresarios individuales que tiene su propia funcin (s) y
administracin.
1.6.11
Poltica

UMG-Seguridad de Sistemas

Daniel Estuardo Rojas

1590-08-14380

Declaraciones claras y medibles de direccin y comportamiento preferido para

acondicionar
las decisiones que se toman dentro de una organizacin.
1.6.12
Propuesta
Recopilacin de beneficios, costos, riesgos, oportunidades y otros elementos
aplicables a las decisiones a
ser hecho. Incluye casos de negocios.
1.6.13
recursos
Personas, procedimientos, software, informacin, equipos, consumibles,
la infraestructura, el capital y los fondos de operacin, y el tiempo.
4
ISO / IEC 2008 - Todos los derechos reservados
ISO / IEC 38500: 2008 (E)
1.6.14 Riesgo
Combinacin de la probabilidad de un evento y su consecuencia (Gua ISO /
IEC 73).
Nota: Las consecuencias son los efectos en la organizacin. Ellos pueden ser
negativos, como
en el uso comn, o 'oportunidades' en el uso comn.
1.6.15
Gestin de riesgos
Actividades para dirigir y controlar una organizacin con respecto al riesgo
(ISO / IEC coordinada
Gua 73).
1.6.16
Tenedor de apuestas
Cualquier individuo, grupo u organizacin que pueda afectar, ser afectado por,
o percibir
mismos que se ven afectados por una decisin o actividad (adaptado de la
Gua ISO / IEC 73).
1.6.17
Estrategia
Plan general de una organizacin de desarrollo, que describe el uso eficaz de
los recursos en
apoyo de la organizacin en sus actividades futuras. Se trata de objetivos de
ajuste y
proponer iniciativas de actuacin.
1.6.18

El uso de TI

UMG-Seguridad de Sistemas

Daniel Estuardo Rojas

1590-08-14380

La planificacin, diseo, desarrollo, implantacin, operacin, manejo y

aplicacin
de TI para satisfacer las necesidades de la empresa. Incluye tanto la demanda
y la oferta,
Servicios de TI por parte de unidades internas, unidades de negocio
especialista en TI o proveedores externos y utilidad
servicios (como los que proporcionan el software como servicios).
ISO / IEC 2008 - Todos los derechos reservados
ISO / IEC 38500: 2008 (E)
2 MARCO PARA LA BUENA gobierno corporativo de TI
2.1 Principios
Esta seccin establece seis principios de buen gobierno corporativo de TI. Los
principios
son aplicables a la mayora de las organizaciones.
Los principios expresar su comportamiento para guiar la toma de decisiones
preferidos. La declaracin de cada
principio se refiere a lo que debera ocurrir, pero no prescribe cmo, cundo y
por quin la
principios se aplicaran - ya que estos aspectos son dependientes de la
naturaleza de la
organizacin de la aplicacin de los principios. Los directores deben exigir
que estos principios son
aplicado.
2.1.1
Principio 1: Responsabilidad
Los individuos y grupos dentro de la organizacin entienden y aceptan sus
responsabilidades
en relacin con la oferta y la demanda de TI. Los responsables de las acciones
tambin
tener la autoridad para llevar a cabo esas acciones.
2.1.2
Principio 2: Estrategia
La estrategia comercial de la organizacin tiene en cuenta las capacidades
actuales y futuras de
ESO; los planes estratgicos de TI para satisfacer las necesidades actuales y
en curso de la organizacin de
estrategia de negocios.
2.1.3
Principio 3: Adquisicin
Adquisiciones de TI se hacen por razones vlidas, sobre la base de un anlisis
adecuado y permanente,
con la toma de decisin clara y transparente. Hay un equilibrio apropiado
entre los beneficios,
oportunidades, costos y riesgos, tanto a corto plazo como a largo plazo.

UMG-Seguridad de Sistemas

Daniel Estuardo Rojas

1590-08-14380

2.1.4
Principio 4: Rendimiento
Es apto para el propsito de apoyar a la organizacin, la prestacin de
servicios, niveles de servicio y
la calidad de servicio necesaria para satisfacer las necesidades actuales y
futuras.
2.1.5
Principio 5: Conformidad
Cumple con todas las leyes y reglamentos obligatorios. Polticas y prcticas
son
claramente definido, implementado y aplicado.
2.1.6
Principio 6: Comportamiento Humano
TI polticas, prcticas y decisiones demuestran respeto por el comportamiento
humano, incluyendo el
necesidades actuales y futuras de todas las "personas en el proceso '.
ISO / IEC 2008 - Todos los derechos reservados
ISO / IEC 38500: 2008 (E)
2.2 Modelo
Los directores deben gobernarlo a travs de tres tareas principales:
un)
Evaluar el uso actual y futuro de las TI.
b) preparacin y ejecucin de planes y polticas directa para asegurar que el
uso de
TI cumple con los objetivos de negocio.
do)
Supervisar la conformidad con las polticas y el desempeo contra los planes.
La Figura 1 muestra el modelo de Gobierno de TI del ciclo de Evaluar-DirectMonitor. El texto
tras la figura 1 se explican los elementos y relaciones que se muestran.
Figura 1 Modelo de Gobierno Corporativo de TI
Evaluar
Los directores deben examinar y hacer un juicio sobre el uso actual y futuro
de las TI, incluyendo
estrategias, propuestas y acuerdos de suministro (ya sean internas, externas, o
ambas cosas).
Al evaluar el uso de las TI, directores deben tener en cuenta las presiones
externas o internas que actan
en el negocio, tales como el cambio tecnolgico, las tendencias econmicas y
sociales, y poltica
influencias.
Los directores deben realizar una evaluacin continua, como el cambio de
presiones.

UMG-Seguridad de Sistemas

Daniel Estuardo Rojas

1590-08-14380

Los directores tambin deben tener en cuenta tanto las necesidades

empresariales actuales y futuras - la corriente y
futuros objetivos de la organizacin que deben alcanzar, tales como el
mantenimiento de la competencia
ventaja, as como los objetivos especficos de las estrategias y propuestas que
se estn evaluando.
Directo
Los directores deben asignar la responsabilidad de, y preparacin directa e
implementacin de planes
y polticas. Los planes deben establecer la direccin de las inversiones en
proyectos de TI y las operaciones de TI.
Las polticas deben establecer el comportamiento del sonido en el uso de TI.
ISO / IEC 2008 - Todos los derechos reservados
ISO / IEC 38500: 2008 (E)
Directores deben asegurarse de que la transicin de proyectos para el estado
de funcionamiento es adecuadamente
planifica y gestiona, teniendo en cuenta los impactos en el negocio y operativa
prcticas, as como los sistemas de TI existentes y la infraestructura.
Los directores deben fomentar una cultura de buen gobierno de las TI en su
organizacin por
que requieren los administradores para proporcionar informacin oportuna,
para cumplir con la direccin y que cumplen
los seis principios de buen gobierno.
Si es necesario, los directores deben dirigir la presentacin de propuestas para
su aprobacin a la direccin
necesidades identificadas.
Monitor
Los directores deben controlar, a travs de los sistemas de medicin
adecuados, el rendimiento de TI.
Deben sentirse ms tranquilos que el rendimiento es de conformidad con los
planes, en particular
con respecto a los objetivos de negocio.
Los directores tambin deben asegurarse de que cumple con las obligaciones
externas (reglamentario,
la legislacin, la ley comn, contractual) y las prcticas de trabajo internas.
Nota: La responsabilidad de los aspectos especficos de TI se puede delegar a
los administradores
dentro de la organizacin. Sin embargo, la responsabilidad por el
funcionamiento eficaz, eficiente y
uso aceptable y entrega de TI de una organizacin permanece con el
directores y no pueden ser objeto de delegacin.
ISO / IEC 2008 - Todos los derechos reservados

UMG-Seguridad de Sistemas

Daniel Estuardo Rojas

1590-08-14380

ISO / IEC 38500: 2008 (E)

3 ORIENTACIN PARA LA gobierno corporativo de TI
3.1 Consideraciones generales
Las siguientes secciones proporcionan orientacin a los principios generales
de buen gobierno de TI
y las prcticas necesarias para aplicar los principios.
Las prcticas descritas no son exhaustivos, pero proporcionan un punto de
partida para la discusin de la
responsabilidades de los directores para el gobierno de TI. Es decir, las
prcticas descritas son
Se sugiere la orientacin de Gobierno de TI.
Es responsabilidad de cada organizacin, de forma individual, para identificar
las acciones especficas
necesaria para aplicar los principios, teniendo debidamente en cuenta la
naturaleza de la
organizacin y anlisis adecuado de los riesgos y oportunidades del uso de TI.
Como base para la ilustracin, las prcticas descritas son aplicables a la
mayora de las organizaciones
(grande o pequeo), la mayor parte del tiempo. Cualquier variacin debe ser
bien considerada.
3.2 Principio 1: Responsabilidad
Evaluar
Los directores deben evaluar las opciones de asignacin de responsabilidades
en relacin con la
uso actual y futuro de la organizacin de TI. En la evaluacin de las opciones,
los directores deben procurar
asegurar el uso y entrega de TI eficaz, eficiente y aceptable en apoyo de la
corriente y
objetivos de negocio futuro.
Los directores deben evaluar la competencia de los que recibieron la
responsabilidad de tomar decisiones
con respecto a IT. Por lo general, estas personas deben ser gerentes de
empresas que tambin estn
responsable de los objetivos de negocio de la organizacin y funcionamiento,
con la asistencia de TI
especialistas que entienden los valores y procesos de negocio.
Directo
Los directores deben ordenar que se llevarn a cabo los planes de acuerdo con
la TI asignado
responsabilidades.
Los directores deben dirigir que reciban la informacin que necesitan para
cumplir con su
responsabilidades y la rendicin de cuentas.

UMG-Seguridad de Sistemas

Daniel Estuardo Rojas

1590-08-14380

ISO / IEC 2008 - Todos los derechos reservados

ISO / IEC 38500: 2008 (E)
Monitor
Los directores deben vigilar que los mecanismos de gobierno de TI son
apropiados
establecido.
Los directores deben vigilar que los que recibieron la responsabilidad
reconoce y entiende
sus responsabilidades.
Los directores deben monitorear el desempeo de los que recibieron la
responsabilidad en el gobierno de TI
(por ejemplo, aquellas personas que desempean funciones en los comits de
direccin o en la presentacin de propuestas para
directores).
10
ISO / IEC 2008 - Todos los derechos reservados
ISO / IEC 38500: 2008 (E)
3.3 Principio 2: Estrategia
Evaluar
Directores deben evaluar la evolucin de TI y procesos de negocio para
asegurarse de que se
proporcionar apoyo a las futuras necesidades de negocio.
Al considerar los planes y polticas, los directores deben evaluar las
actividades de TI para asegurarse de que se alineen
con los objetivos de la organizacin para las circunstancias cambiantes, tener
la consideracin de mejor
prcticas y satisfacen otros requisitos de inters clave.
Los directores deben garantizar que el uso de TI estn sujetos a la evaluacin
de riesgos adecuada y la evaluacin,
como se describe en las normas internacionales y nacionales pertinentes.
Directo
Los directores deben dirigir la preparacin y uso de los planes y polticas que
garanticen la
organizacin se beneficia de la evolucin de las TI.
Los directores tambin deben fomentar la presentacin de propuestas para
usos innovadores de la misma que
permitir a la organizacin para responder a nuevas oportunidades o desafos,
emprender nuevos
empresas o mejorar los procesos.
Monitor
Los directores deben vigilar el progreso de las propuestas que aprob para
garantizar que se encuentren
el logro de los objetivos en los plazos requeridos utilizando los recursos
asignados.

UMG-Seguridad de Sistemas

Daniel Estuardo Rojas

1590-08-14380

Los directores deben supervisar el uso de TI para asegurarse de que est

alcanzando sus beneficios previstos.
ISO / IEC 2008 - Todos los derechos reservados
ISO / IEC 38500: 2008 (E)
3.4 Principio 3: Adquisicin
Evaluar
Los directores deben evaluar las opciones de TI proporcionar a darse cuenta
de las propuestas aprobadas, equilibrando
los riesgos y la rentabilidad de las inversiones propuestas.
Directo
Los directores deben ordenar que los activos de TI y la infraestructura
(sistemas) se adquieran de
de manera adecuada, incluyendo la preparacin de la documentacin
adecuada, garantizando al mismo tiempo que
Se proporcionan capacidades requeridas.
Los directores deben dirigir que los acuerdos de suministro (incluyendo tanto
la oferta interna y externa
arreglos) apoyan las necesidades de negocio de la organizacin.
Monitor
Los directores deben controlar las inversiones de TI para asegurar que
proporcionan la necesaria
capacidades.
Los directores deben vigilar el grado en que su organizacin y los proveedores
de mantener la
compartida comprensin de la intencin de la organizacin en la toma de
cualquier adquisicin de TI.
ISO / IEC 2008 - Todos los derechos reservados
ISO / IEC 38500: 2008 (E)
3.5 Principio 4: Rendimiento
Evaluar
Directores deben evaluar los medios propuestos por los administradores para
asegurar que se apoyar
procesos de negocio con la capacidad y la capacidad requerida. Estas
propuestas deben abordar
la continuacin de la operacin normal del negocio y el tratamiento del riesgo
asociado a la
uso de ella.
Los directores deben evaluar los riesgos de continuidad del funcionamiento
del negocio que surjan
de las actividades de TI.
Los directores deben evaluar los riesgos para la integridad de la informacin y
la proteccin de

UMG-Seguridad de Sistemas

Daniel Estuardo Rojas

1590-08-14380

Los activos de TI, incluida la propiedad intelectual asociada y la memoria de

la organizacin.
Los directores deben evaluar las opciones para asegurar tomas de decisiones
eficaces y oportunas sobre el uso de las TI en
apoyo de los objetivos de negocio.
Los directores deben evaluar regularmente la eficacia y el rendimiento de la
organizacin de
sistema de gobierno de TI.
Directo
Los directores deben garantizar la asignacin de recursos suficientes para que
cumpla con las necesidades de la
organizacin, de acuerdo con las prioridades acordadas y las limitaciones
presupuestarias.
Los directores deben dirigir a los responsables para asegurarse de que es
compatible con el negocio, cuando
requerido por razones de negocios, con la correcta y los datos que se protege
de la prdida o de arriba-hasta la fecha
mal uso.
Monitor
Los directores deben vigilar el grado en que lo hace compatible con el
negocio.
Los directores deben vigilar el grado en el que asigna los recursos y los
presupuestos se dio prioridad
de acuerdo con los objetivos del negocio.
Los directores deben vigilar el grado en que las polticas, como la exactitud de
los datos de
y el uso eficiente de las TI, se siguen correctamente.
ISO / IEC 2008 - Todos los derechos reservados
ISO / IEC 38500: 2008 (E)
3.6 Principio 5: Conformidad
Evaluar
Los directores deben evaluar peridicamente la medida en que satisface las
obligaciones
(normativa, legislacin, derecho comn, contractual), polticas internas,
normas y
directrices profesionales.
Los directores deben evaluar peridicamente el cumplimiento interno de la
organizacin de su sistema
para el Gobierno de TI.
Directo
Los directores deben dirigir a los responsables de establecer mecanismos
regulares y de rutina para
asegurando que el uso de TI cumpla con las obligaciones pertinentes
(regulatorio, la legislacin comn,

UMG-Seguridad de Sistemas

Daniel Estuardo Rojas

1590-08-14380

la ley, contractual), normas y directrices.

Los directores deben dirigir las polticas que se establecen y hacen cumplir
para que el
organizacin para cumplir con sus obligaciones internas en el uso de TI.
Los directores deben ordenar que el personal de TI a las directrices relevantes
para el comportamiento profesional
y desarrollo.
Administracin debera disponer que todas las acciones relacionadas con TI
sean ticas.
Monitor
Los directores deben vigilar el cumplimiento y la conformidad de TI a travs
de una comunicacin adecuada y
prcticas de auditora, que las evaluaciones son oportuna, integral y adecuada
para el
evaluacin del grado de satisfaccin de la empresa.
Los directores deben supervisar las actividades de TI, incluida la eliminacin
de los activos y datos, para asegurar que
del medio ambiente, la privacidad, la gestin estratgica del conocimiento, la
preservacin de la organizacin
la memoria y otras obligaciones pertinentes se cumplen.
ISO / IEC 2008 - Todos los derechos reservados
ISO / IEC 38500: 2008 (E)
3.7 Principio 6: Comportamiento Humano
Evaluar
Los directores deben evaluar las actividades de TI para asegurarse de que se
identifican los comportamientos humanos y
apropiadamente considerado.
Directo
Los directores deben dirigir las actividades de TI que son consistentes con el
comportamiento humano identificado.
Los directores deben ordenar que riesgos, oportunidades, problemas y
preocupaciones pueden ser identificados
y reportado por cualquiera en cualquier momento. Estos riesgos deben ser
gestionados de conformidad con el
publicada polticas y procedimientos y escalado a los que toman las decisiones
pertinentes.
Monitor
Directores deben vigilar las actividades de TI para asegurar que los
comportamientos humanos identificados
siendo relevante y se preste la debida atencin a ellos.
Directores deben vigilar las prcticas de trabajo para asegurarse de que son
coherentes con el uso apropiado de las TI.