Arbeitspapier

ISO/IEC 3850x - Die Normenreihe zur IT-Governance

In diesem Arbeitspapier wird die Norm "ISO/IEC 38500" beschrieben und analysiert. Die erste Ausgabe der Norm wurde im Juni 2008 als "ISO/IEC 38500:2008 Corporate governance of information technology" veröffentlicht. Die zweite Ausgabe folgte im Februar 2015 als "ISO/IEC 38500:2015 Information technology - Governance of IT for the organization". Im Folgenden wird auf die institutionellen Hintergründe, die wesentlichen Bestandteile der ISO/IEC 38500:2015, das grundlegende Modell und die Prinzipien zur IT-Governance sowie auf die aus der Verbindung von Prinzipien und Governance-Funktionen resultierenden Leitlinien zur Ausgestaltung der IT-Governance eingegangen. Auch werden die Entwicklung zur Normenreihe und die Zusammenhänge der einzelnen Dokumente dieser Reihe verdeutlicht. Die Bedeutung der ISO/IEC 38500: 2015 wird vor allem in der Trennung zwischen IT-Governance und IT-Management sowie dem damit verbundenen Modell der IT-Governance gesehen. Dieses Modell hat die drei Governance-Funktionen "Evaluate - Direct - Monitor" eingeführt, die auch in COBIT® 5 Eingang gefunden haben. Neben der ISO/ IEC 38500:2015 werden auch die technische Spezifikation "ISO/IEC TS 38501:2015" und der technische Report "ISO/IEC TR 38502:2014" behandelt. Die ISO/IEC TS 38501:2015 beschreibt als Implementierungsleitfaden einen zyklischen Implementierungsansatz mit drei Phasen, die jeweils detailliert dargestellt werden. Der ISO/IEC TR 38502:2014 beinhaltet im Wesentlichen die in die ISO/IEC 38500:2015 weitgehend identisch übernommenen Begriffsdefinitionen sowie das Modell der IT-Governance. Daneben werden Vertiefungen zur Unterscheidung zwischen Governance und Management sowie ein Framework für die IT-Governance behandelt. Im Vergleich der verschiedenen Dokumente (Norm, Report, Spezifikation) sind Unstimmigkeiten i. S. einer mangelnden Bezugnahme zu entdecken. Insbesondere die in der ISO/IEC 38500:2015 etablierte Struktur der Verbindung von Governance-Funktionen mit Prinzipien der IT-Governance wird im Report und in der Spezifikation nicht weiter als Analyse- und Bewertungsraster verwendet. Trotzdem stellen die Norm und die ergänzenden Dokumente ein Hilfsmittel für die Praxis in der Ausgestaltung und ständigen Verbesserung der IT-Governance dar. Standards zur Steuerung und Überwachung der Unternehmens-IT, allen voran COBIT®, werden in ihrer Weiterentwicklung die ISO/IEC 3850x berücksichtigen müssen.