1、gb/t 發(fā)布中華人民共和國國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局中 國 國 家 標(biāo) 準(zhǔn) 化 管 理 委 員 會-實(shí)施-發(fā)布信息技術(shù)服務(wù) 治理第1部分：通用要求information technology service - governance-part 1：general requirements（草案）gb/t .2201中華人民共和國國家標(biāo)準(zhǔn)ics xx.xxx.xx;xx.xxx2目 次目 次i前 言i引 言ii信息技術(shù)服務(wù) 治理 第1部分：通用要求11 范圍、應(yīng)用和目標(biāo)11.1 范圍11.2 應(yīng)用11.3 目標(biāo)11.4 使用本標(biāo)準(zhǔn)帶來的好處12 規(guī)范性引用文件23 定義23.1 可接受的23.2

2、 組織治理23.3 組織的it治理23.4 治理機(jī)構(gòu)23.5 能力23.6 領(lǐng)導(dǎo)者23.7 人員行為33.8 信息技術(shù)（it）33.9 it投資33.10 管理33.11 組織33.12 方針33.13 建議33.14 資源33.15 風(fēng)險(xiǎn)33.16 風(fēng)險(xiǎn)管理33.17 利益相關(guān)方33.18 策略33.19 it的使用33.20 it治理過程34 it治理框架44.1 edm44.2 組織的治理要求54.3 it治理過程7i前 言本部分標(biāo)準(zhǔn)作為gb/t 信息技術(shù)服務(wù) 治理 第x部分：xxx的組成部分，與以下有著密切關(guān)系： 第2部分：實(shí)施指南； 第3部分：績效指標(biāo)體系； 第4部分：審計(jì)導(dǎo)則。本部

3、分由中華人民共和國工業(yè)和信息化部提出。本部分由全國信息技術(shù)標(biāo)準(zhǔn)化技術(shù)委員會歸口。本部分起草單位： xxxxxxxxx本標(biāo)準(zhǔn)主要起草人：xxxxxxx引 言it治理是企業(yè)治理的重要組成部分，源于監(jiān)管要求和業(yè)務(wù)發(fā)展的要求。通過it治理，使企業(yè)的it戰(zhàn)略規(guī)劃與企業(yè)戰(zhàn)略規(guī)劃一致；it目標(biāo)與業(yè)務(wù)目標(biāo)一致；it資源得以統(tǒng)一規(guī)劃和管理；風(fēng)險(xiǎn)得到有效的控制。信息技術(shù)服務(wù) 治理 第1部分：通用要求從總體上規(guī)范it治理的基本范圍，提出it治理的指導(dǎo)原則，企業(yè)按照信息技術(shù)服務(wù) 治理 第2部分：實(shí)施指南的規(guī)范，實(shí)施it治理的活動。遵從信息技術(shù)服務(wù) 治理 第3部分：績效指標(biāo)體系的規(guī)范要求，使企業(yè)能夠定量或定性的把握it

4、治理的績效。企業(yè)按照信息技術(shù)服務(wù) 治理 第4部分：審計(jì)導(dǎo)則評價(jià)it治理狀況，使企業(yè)全面把控it治理的狀況，并及時(shí)調(diào)整其it戰(zhàn)略。本標(biāo)準(zhǔn)旨在為領(lǐng)導(dǎo)者在組織內(nèi)評估、指導(dǎo)和監(jiān)管信息技術(shù)（it）的使用，提供一個(gè)原則框架。大部分組織使用it 作為一個(gè)基本的業(yè)務(wù)工具，在沒有it時(shí)業(yè)務(wù)功能很少可以有效運(yùn)作。對于很多組織，it也是將來業(yè)務(wù)規(guī)劃的重要因素。it支出占組織財(cái)務(wù)和人力資源支出的重要部分，但其投資的收益常常沒有得到充分認(rèn)識， 而且可能會給組織帶來重大的負(fù)面影響。 這些消極結(jié)果的主要原因是，過于強(qiáng)調(diào)it活動的技術(shù)、財(cái)務(wù)和日程安排方面，而沒有關(guān)注整個(gè)業(yè)務(wù)環(huán)境中的it使用。 本標(biāo)準(zhǔn)針提供it的有效治理的框架

5、，以幫助組織高層人員理解和實(shí)現(xiàn)其組織在利用it方面的法律、法規(guī)和道德要求。此框架由定義、原則和模型組成。當(dāng)本標(biāo)準(zhǔn)服務(wù)于治理團(tuán)隊(duì)，反過來也可能領(lǐng)導(dǎo)組織管理層采取的某些行動。在一些組織（通常是小型組織），允許治理團(tuán)隊(duì)成員承擔(dān)管理的關(guān)鍵角色。在這個(gè)意義上，它可以確保本標(biāo)準(zhǔn)適用于所有組織，無論大型組織，還是小型組織，而不論組織的目的、規(guī)劃和股東結(jié)構(gòu)；本標(biāo)準(zhǔn)旨在為參與設(shè)計(jì)和實(shí)施支持治理的管理體系方針、流程和結(jié)構(gòu)的人員提供信息和指南。i信息技術(shù)服務(wù) 治理 第1部分：通用要求1 范圍、應(yīng)用和目標(biāo) 1.1 范圍 本標(biāo)準(zhǔn)為組織的責(zé)任人（包括所有者、董事會成員、責(zé)任人、合作伙伴、高級執(zhí)行層，或其他類似人員）提供組

6、織內(nèi)有效、高效和合理運(yùn)用信息技術(shù)（it）的指導(dǎo)性原則。 本標(biāo)準(zhǔn)用于組織內(nèi)部信息和通訊服務(wù)的管理過程（和決策）的治理。這些過程可能受組織內(nèi)的it專家、外部服務(wù)提供商或組織內(nèi)業(yè)務(wù)部門控制。 本標(biāo)準(zhǔn)也為那些給向組織的責(zé)任人提出建議、告知信息或協(xié)助工作的人員提供指南。這些人員包括： l 高層管理者 l 監(jiān)管組織資源利用的小組成員； l 外部的業(yè)務(wù)或技術(shù)專家，如法律或財(cái)務(wù)的人員；相關(guān)專家；行業(yè)協(xié)會，或?qū)I(yè)團(tuán)體； l 軟件、硬件、通訊或其他it產(chǎn)品的供應(yīng)商； l 內(nèi)部或外部服務(wù)提供方（包括咨詢?nèi)藛T）； l it審計(jì)人員。 1.2 應(yīng)用 本標(biāo)準(zhǔn)適用于所有組織，包括公眾和私有公司、政府組織和非贏利組織。本標(biāo)準(zhǔn)

7、也適用于從小型到大型不同規(guī)模的組織，而不論其對it利用的程度如何。 1.3 目標(biāo) 本標(biāo)準(zhǔn)目的是通過以下方式，促進(jìn)所有組織有效、高效和合理的利用it： l 遵循本標(biāo)準(zhǔn)，可能使得相關(guān)利益方（包括消費(fèi)者、股東和雇員）對組織的it治理具有信心；l 為組織內(nèi)治理it使用的責(zé)任人提供信息和指導(dǎo)； l 為組織的it治理提供基本的客觀評估。 1.4 使用本標(biāo)準(zhǔn)帶來的好處 1.4.1 總則 本標(biāo)準(zhǔn)建立有效、高效和合理利用it的原則。確保組織依據(jù)這些原則，幫助責(zé)任人平衡風(fēng)險(xiǎn)和鼓勵(lì)從it使用中獲得機(jī)會。 本標(biāo)準(zhǔn)建立了it治理的模型。通過對模型的合理應(yīng)用，可以降低責(zé)任人未能履行其職責(zé)的風(fēng)險(xiǎn)。 本標(biāo)準(zhǔn)還提供了有關(guān)it治

8、理的術(shù)語。 1.4.2 組織的符合性 合適的it治理能夠幫助責(zé)任人確保組織在合理利用it方面，符合其職責(zé)和義務(wù)（法律法規(guī)、合同）要求。 不恰當(dāng)?shù)膇t系統(tǒng)可能使責(zé)任人面臨不符合法律要求的風(fēng)險(xiǎn)。如在某些判決的案例中，由于不適當(dāng)?shù)呢?cái)務(wù)系統(tǒng)會導(dǎo)致沒有交稅的情形，使責(zé)任者本人可能需承擔(dān)責(zé)任。 使用it的過程中，會涉及到特定的風(fēng)險(xiǎn)，必需適當(dāng)處理。責(zé)任人可能要為違反以下標(biāo)準(zhǔn)、法律法規(guī)行為承擔(dān)責(zé)任，如： l 安全標(biāo)準(zhǔn)； l 隱私保護(hù)法律； l 垃圾郵件法規(guī)； l 貿(mào)易慣例法規(guī)； l 知識產(chǎn)權(quán)，包括軟件許可協(xié)議； l 記錄保存的要求； l 環(huán)境相關(guān)的法律法規(guī)； l 健康和安全的法規(guī)； l 殘疾人便利法規(guī)； l

9、社會責(zé)任標(biāo)準(zhǔn)。 領(lǐng)導(dǎo)者利用本標(biāo)準(zhǔn)的指南，可最大程度的滿足其責(zé)任的要求。1.4.3 組織的績效 適當(dāng)?shù)膇t治理通過以下活動，幫助領(lǐng)導(dǎo)者確保it的利用在為提高組織績效方面，帶來積極的影響： l 合理的實(shí)施和運(yùn)行it資產(chǎn)； l 明確達(dá)成組織目標(biāo)的it的使用者和提供方的職責(zé)和責(zé)任； l 保持業(yè)務(wù)連續(xù)性和穩(wěn)定性； l 保證it與業(yè)務(wù)要求的一致性； l 有效分配資源； l 進(jìn)行服務(wù)、市場和業(yè)務(wù)的創(chuàng)新； l 維持與利益相關(guān)方關(guān)系的良好的實(shí)踐活動； l 降低組織成本；以及 l 重視從每一it投資獲得的經(jīng)過認(rèn)可的收益。 2 規(guī)范性引用文件1 組織財(cái)務(wù)治理報(bào)告, sir adrian cadbury, 倫敦, 1

10、992 isbn 0 85258 913 1 2 oecd 組織治理原則, oecd, 1999 and 2004 3 iso 指南73 2002 - 風(fēng)險(xiǎn)管理 - 術(shù)語 標(biāo)準(zhǔn)使用指南。 43 定義 以下定義適用于本標(biāo)準(zhǔn)。希望組織在其環(huán)境和架構(gòu)中采用本標(biāo)準(zhǔn)的術(shù)語。 3.1 可接受的 滿足利益相關(guān)方的合理或應(yīng)得的期望。 3.2 組織治理 指導(dǎo)和控制組織的體系。（引自cadbury 1992 and oecd 1999）3.3 組織的it治理 指導(dǎo)和控制當(dāng)前和將來it利用的體系。 it治理涉及評估和指導(dǎo)支持組織的it的使用，并監(jiān)管it的使用，以實(shí)現(xiàn)計(jì)劃。它包括組織內(nèi)it使用的策略和方針。 3.4

11、治理機(jī)構(gòu)負(fù)責(zé)界定各相關(guān)主體在治理范圍、責(zé)權(quán)利及其相互關(guān)系準(zhǔn)則的組織或?qū)嶓w。3.5 能力 具有履行一項(xiàng)任務(wù)或角色所需的知識、通過正式或非正式獲得的技能、培訓(xùn)收獲、經(jīng)驗(yàn)和行為態(tài)度等的組合。 3.6 領(lǐng)導(dǎo)者 組織最高層治理團(tuán)體的成員。包括所有者、董事會成員、合伙人、高層執(zhí)行人或其他類似人員，以及法定的人員。 3.7 人員行為 人員行為指系統(tǒng)內(nèi)的各個(gè)要素之間（包括人與人，人與物，物與物）的相互作用，以確保系統(tǒng)良好運(yùn)行和最佳績效。人員行為包括作為個(gè)人或團(tuán)隊(duì)的文化、需求及志向。 注：對于it，存在多種團(tuán)體和小組，他們都具有其自身的需求、意向及行為。如，（一）使用信息系統(tǒng)的人員可有展示訪問便利、人體工程學(xué)、

12、可用性和性能方面的相關(guān)要求。（二）工作角色因it應(yīng)用而改變的人員可能提出的需求，與溝通、培訓(xùn)和信心恢復(fù)相關(guān)。（三）建設(shè)和運(yùn)行it的人員提出的需求可能是關(guān)于工作條件和發(fā)展技能方面的。 3.8 信息技術(shù)（it） 獲得、處理、保存和傳播信息所需的資源。這可能包括單一術(shù)語“通訊技術(shù)（ct）” 和組合術(shù)語“信息與通訊技術(shù)（ict）”。 3.9 it投資 分配人員、資金和其他資源以達(dá)成既定目標(biāo)以及獲得其他利益。 3.10 管理 為達(dá)到組織治理團(tuán)隊(duì)所設(shè)置的策略性目標(biāo)所需的控制和過程體系。管理是在組織治理制定的方針指導(dǎo)下進(jìn)行的，而且受到治理團(tuán)隊(duì)的監(jiān)管和評估。 3.11 組織 具有自身職能和管理的任何公司、企業(yè)

13、、政府、非贏利或其他合法組織，包括協(xié)會、俱樂部、合作企業(yè)、政府組織、公眾公司、私有公司及專營商等。 3.12 方針 關(guān)于組織行動方向和行動本身，明確的、定性定量的描述，以約束組織內(nèi)的決策。 3.13 建議 關(guān)于收益、成本、風(fēng)險(xiǎn)、機(jī)會和其他適用于做出決策的因素的匯集，包括業(yè)務(wù)案例。 3.14 資源 人員、程序、軟件、信息、設(shè)備、耗材、基礎(chǔ)設(shè)施、資金和運(yùn)作基金，還有時(shí)間。 3.15 風(fēng)險(xiǎn)事件發(fā)生的可能性和引起的后果的組合 (iso/iec guide 73). 注：后果是對組織產(chǎn)生的影響，后果可能是負(fù)面的，而對組織的影響是正面的，通常稱為“機(jī)會”。 3.16 風(fēng)險(xiǎn)管理 指導(dǎo)和控制組織風(fēng)險(xiǎn)的協(xié)調(diào)活動

14、（iso/iec guide 73）。 3.17 利益相關(guān)方 可能影響某一決策或活動的，并受到某一決策活動影響或自身感到受到影響的任何個(gè)人、團(tuán)體和組織（引自iso/iec guide 73）。 3.18 策略 組織發(fā)展的整體計(jì)劃，它描述組織在將來活動中支持其資源的有效利用。涉及到設(shè)定目標(biāo)和提出行動倡議。 3.19 it的使用 計(jì)劃、設(shè)計(jì)、開發(fā)、部署、運(yùn)行、管理和應(yīng)用it，以滿足業(yè)務(wù)的要求。包括對it服務(wù)的要求，以及由內(nèi)部業(yè)務(wù)部門、特定的it服務(wù)部門、外部供應(yīng)商和服務(wù)功能（如將軟件作為一個(gè)服務(wù)提供）所提供的it服務(wù)。3.20 it治理過程it治理過程是指it治理的對象領(lǐng)域，如規(guī)劃、建設(shè)和運(yùn)維。4

15、 it治理框架時(shí)間節(jié)點(diǎn)要求：“通用要求”4月3號提交，“實(shí)施指南”4月20日提交對于圖片的概述說明（銀海）圖1 it治理框架圖it治理是組織根據(jù)它的使命，設(shè)計(jì)并實(shí)施信息化過程（規(guī)劃、建設(shè)、運(yùn)維）中各方利益最大化的有效機(jī)制，包括公司戰(zhàn)略與信息化戰(zhàn)略融合的機(jī)制，權(quán)責(zé)對等的問責(zé)機(jī)制，信息化投資的決策機(jī)制，信息化的組織保障機(jī)制，信息化的健康發(fā)展機(jī)制，信息化的績效管理機(jī)制以及信息化的持續(xù)改進(jìn)機(jī)制，實(shí)現(xiàn)組織的業(yè)務(wù)戰(zhàn)略，促進(jìn)管理創(chuàng)新，合理管控信息化過程的風(fēng)險(xiǎn)，建立信息化可持續(xù)發(fā)展的長效機(jī)制，最終實(shí)現(xiàn)it商業(yè)價(jià)值。本部分提出it治理通用要求的基本框架，如圖1所示。戰(zhàn)略，組織的信息化戰(zhàn)略應(yīng)與業(yè)務(wù)戰(zhàn)略相融合，it

16、的戰(zhàn)略計(jì)劃應(yīng)該滿足組織當(dāng)前和持續(xù)的業(yè)務(wù)戰(zhàn)略的需要。職責(zé)，組織內(nèi)的個(gè)人或團(tuán)體應(yīng)該理解和接受其與it活動的相關(guān)職責(zé)，同時(shí)這些活動的責(zé)任人，具有履行這些活動的權(quán)利。獲取，組織應(yīng)基于適當(dāng)?shù)暮统掷m(xù)發(fā)展的分析，作出明確清晰的it投資決策。這是對短期或長期的利益、機(jī)會、成本和風(fēng)險(xiǎn)的一個(gè)適當(dāng)平衡。人員，組織應(yīng)基于it戰(zhàn)略、職責(zé)、投資，實(shí)際操作和決策要體現(xiàn)對人員行為的重視，包括當(dāng)前和發(fā)展所需的所有“過程中的人員”。 合規(guī)，組織應(yīng)對it資源的運(yùn)作情況以及董事、高管行使職權(quán)行為進(jìn)行監(jiān)督，并符合所有強(qiáng)制法律法規(guī)的要求。績效, 組織應(yīng)定期評估組織it治理體系的有效性和績效。持續(xù)改進(jìn)，在it治理過程中，組織通過策劃、實(shí)施

17、、檢查和改進(jìn)實(shí)現(xiàn)組織it治理能力的持續(xù)提升。4.1 edm領(lǐng)導(dǎo)者應(yīng)該通過三項(xiàng)主要任務(wù)治理it： a) 評估現(xiàn)在和將來對it的利用。 b) 指導(dǎo)計(jì)劃和方針的準(zhǔn)備和實(shí)施，以保證it的利用符合業(yè)務(wù)目標(biāo)。 c) 監(jiān)管方針執(zhí)行的符合性，以及按照計(jì)劃實(shí)施的績效4.1.1 評估領(lǐng)導(dǎo)者應(yīng)該檢查和評判當(dāng)前和將來對it的利用，包括策略、建議和供給安排（不管是內(nèi)部、外部，還是兩者都有）。 在評估it的使用時(shí)，領(lǐng)導(dǎo)者應(yīng)該考慮對于業(yè)務(wù)的內(nèi)外部壓力，如技術(shù)的變更、經(jīng)濟(jì)和社會的發(fā)展、以及政治影響。 領(lǐng)導(dǎo)者應(yīng)該隨著壓力的變化，持續(xù)進(jìn)行評估。領(lǐng)導(dǎo)者還應(yīng)該考慮現(xiàn)在和將來的業(yè)務(wù)需求 當(dāng)前和將來的組織必須達(dá)到的目標(biāo)，如維持競爭優(yōu)勢，

18、以及正在評估中的戰(zhàn)略或意圖的特殊目標(biāo)。4.1.2 指導(dǎo) 領(lǐng)導(dǎo)者應(yīng)該制定計(jì)劃和方針的準(zhǔn)備和實(shí)施工作方面的職責(zé)，并予以指導(dǎo)。計(jì)劃應(yīng)該設(shè)定it項(xiàng)目和it運(yùn)維的投資方向。方針應(yīng)該確定it利用的合理行為。 領(lǐng)導(dǎo)者應(yīng)該保證從項(xiàng)目實(shí)施完成而轉(zhuǎn)入日常程運(yùn)作，是得到了周密計(jì)劃和良好管理的，并考慮對業(yè)務(wù)、現(xiàn)有it系統(tǒng)和基礎(chǔ)設(shè)施運(yùn)作的習(xí)慣影響。 領(lǐng)導(dǎo)者應(yīng)該通過要求管理者提供及時(shí)的信息、遵從組織的指導(dǎo)以及符合良好治理的六項(xiàng)原則，來提倡鼓勵(lì)組織內(nèi)良好it治理的文化氛圍。 如果需要，領(lǐng)導(dǎo)者應(yīng)該指導(dǎo)提交已確認(rèn)的需求的建議方案，以便得到批準(zhǔn)。 4.1.3 監(jiān)管 領(lǐng)導(dǎo)者應(yīng)該選擇合適的測量體系監(jiān)管it的績效。他們應(yīng)該確保計(jì)劃得到

19、遵循，特別是與業(yè)務(wù)目標(biāo)相關(guān)的。 領(lǐng)導(dǎo)者應(yīng)該確保it符合外部義務(wù)（法律、法規(guī)以及合同）和內(nèi)部實(shí)際工作的要求。 注：it特定方面的責(zé)任可能委托給組織內(nèi)的管理人員。但領(lǐng)導(dǎo)者仍需為組織的it有效和可接受的使用及交付承擔(dān)責(zé)任，而不能委托。4.2 組織的治理要求（寫實(shí)施指南時(shí)，請參照iso /iec 30120 標(biāo)準(zhǔn)的具體內(nèi)容）以下章節(jié)提供有關(guān)良好it治理一般原則的指南和實(shí)施這些原則所需的實(shí)踐。 這里所描述的實(shí)踐可能不是全面的，但提供了討論it治理領(lǐng)導(dǎo)者職責(zé)的起點(diǎn)。也就是說，這里所描述的實(shí)踐是it治理的建議指南。 充分考慮組織的特性，it使用的適當(dāng)?shù)娘L(fēng)險(xiǎn)和機(jī)會分析，以識別原則的實(shí)施所需的特別行動，是每個(gè)組

20、織自身的職責(zé)。 作為基本說明，這里描述的實(shí)踐適用于多數(shù)組織（大型的或小型的），多數(shù)情形。當(dāng)然，應(yīng)該考慮任何變化。 4.2.1 戰(zhàn)略（用友-實(shí)施指南）領(lǐng)導(dǎo)者應(yīng)該評估it和業(yè)務(wù)過程的開發(fā)、指導(dǎo)計(jì)劃和方針的準(zhǔn)備和適用、監(jiān)管已獲得批準(zhǔn)的it方案的實(shí)施進(jìn)展，以確保it為將來的業(yè)務(wù)要求提供支持，保證其利用所分配的資源、在要求的時(shí)間內(nèi)達(dá)到目標(biāo)。評估 領(lǐng)導(dǎo)者應(yīng)該評估it和業(yè)務(wù)過程的開發(fā)，以確保it為將來的業(yè)務(wù)要求提供支持。在考慮計(jì)劃和方針時(shí)，領(lǐng)導(dǎo)者應(yīng)該評估it活動，以確保其在不斷變化的環(huán)境下與組織的目標(biāo)相一致，并考慮更好的實(shí)現(xiàn)方式以及其他關(guān)鍵利益相關(guān)方的要求。 領(lǐng)導(dǎo)者應(yīng)該確保it的使用，得到了按照相關(guān)國際或國

21、內(nèi)標(biāo)準(zhǔn)所建議方式進(jìn)行了風(fēng)險(xiǎn)評價(jià)。 指導(dǎo) 領(lǐng)導(dǎo)者應(yīng)該指導(dǎo)計(jì)劃和方針的準(zhǔn)備和適用，以確保組織從it開發(fā)中獲益。 領(lǐng)導(dǎo)者還應(yīng)該鼓勵(lì)it使用的創(chuàng)新性建議，使得組織可以應(yīng)對新的機(jī)會或挑戰(zhàn)、承擔(dān)新的業(yè)務(wù)或改進(jìn)過程。 監(jiān)管 領(lǐng)導(dǎo)者應(yīng)該監(jiān)管已獲得批準(zhǔn)的it方案的實(shí)施進(jìn)展，以保證其利用所分配的資源、在要求的時(shí)間內(nèi)達(dá)到目標(biāo)。 領(lǐng)導(dǎo)者應(yīng)該監(jiān)管it的使用，以保證其達(dá)到預(yù)期的收益。 4.2.2 職責(zé)（慧點(diǎn)-實(shí)施指南）領(lǐng)導(dǎo)者應(yīng)該在組織當(dāng)前和將來對it使用的基礎(chǔ)上，評估職責(zé)分配方案、指導(dǎo)職責(zé)貫徹執(zhí)行、監(jiān)管it治理機(jī)制的建立、人員職責(zé)的分配和績效，以保證其利用所分配的資源、在要求的時(shí)間內(nèi)達(dá)到目標(biāo)。評估 領(lǐng)導(dǎo)者應(yīng)該在組織當(dāng)前和

22、將來對it使用的基礎(chǔ)上，評估職責(zé)分配方案。在評估方案時(shí)，領(lǐng)導(dǎo)者應(yīng)該設(shè)法確保有效、高效和可以接受的使用和交付it，以支持當(dāng)前和未來的業(yè)務(wù)目標(biāo)。 領(lǐng)導(dǎo)者應(yīng)該評估分配有it決策責(zé)任的人員的能力。一般來說，這些人員應(yīng)該是業(yè)務(wù)管理人員，負(fù)責(zé)組織的業(yè)務(wù)目標(biāo)和績效，并得到理解組織業(yè)務(wù)價(jià)值和過程的it專家的協(xié)助。 指導(dǎo) 領(lǐng)導(dǎo)者應(yīng)該指導(dǎo)計(jì)劃按照所分配的it職責(zé)得以執(zhí)行。 領(lǐng)導(dǎo)者應(yīng)該指導(dǎo)相關(guān)人員獲得履行其職責(zé)和責(zé)任的所需信息。 監(jiān)管 領(lǐng)導(dǎo)者應(yīng)該監(jiān)管合適的it治理機(jī)制是否得到了建立。 領(lǐng)導(dǎo)者應(yīng)該監(jiān)管那些分配有職責(zé)的人員，熟悉并理解他們的職責(zé)。領(lǐng)導(dǎo)者應(yīng)該監(jiān)管分配有it治理職責(zé)的人員（如，在督導(dǎo)委員的人員或向董事會提交

23、建議的人員）的績效。 4.2.3 獲取（慧點(diǎn)-實(shí)施指南）領(lǐng)導(dǎo)者應(yīng)該評估已批準(zhǔn)建議的it實(shí)現(xiàn)方案，平衡風(fēng)險(xiǎn)和物有所值的投資建議、指導(dǎo)通過合適方式獲得的it資產(chǎn)（系統(tǒng)和基礎(chǔ)設(shè)施）、監(jiān)管it投資，以保證其提供的是所需的能力。評估 領(lǐng)導(dǎo)者應(yīng)該評估已批準(zhǔn)建議的it實(shí)現(xiàn)方案，平衡風(fēng)險(xiǎn)和物有所值的投資建議。 指導(dǎo) 領(lǐng)導(dǎo)者應(yīng)該指導(dǎo)通過合適方式獲得的it資產(chǎn)（系統(tǒng)和基礎(chǔ)設(shè)施），包括合適的文件準(zhǔn)備，以確保提供所需的能力。 領(lǐng)導(dǎo)者應(yīng)該指導(dǎo)供給安排（包括內(nèi)部和外部的供給安排），以支持組織的業(yè)務(wù)要求。 監(jiān)管 領(lǐng)導(dǎo)者應(yīng)該監(jiān)管it投資，以保證其提供的是所需的能力。 領(lǐng)導(dǎo)者應(yīng)該監(jiān)管組織在作出任何it采購決策時(shí)，組織和供應(yīng)商共

24、同理解組織意圖的程度。 4.2.4 人員行為（華勝天成-實(shí)施指南）領(lǐng)導(dǎo)者應(yīng)該評估、指導(dǎo)、監(jiān)管it活動，以確保人員行為是確定、適當(dāng)和一致的。 評估 領(lǐng)導(dǎo)者應(yīng)該評估it活動，以確保人員行為是確定的和適當(dāng)?shù)摹?指導(dǎo)領(lǐng)導(dǎo)者應(yīng)該指導(dǎo)it活動，使它們與人員行為是一致的。 領(lǐng)導(dǎo)者應(yīng)該管理由任何人在任何時(shí)間報(bào)告或識別的風(fēng)險(xiǎn)、機(jī)會、問題和關(guān)心事項(xiàng)。風(fēng)險(xiǎn)的管理應(yīng)該按照已發(fā)布的策略和程序進(jìn)行，并將升級信息及時(shí)告訴給相關(guān)決策者。監(jiān)管 領(lǐng)導(dǎo)者應(yīng)該監(jiān)管it活動，以確保確定的人員行為的關(guān)聯(lián)性，并適當(dāng)加以注意。 領(lǐng)導(dǎo)者應(yīng)該監(jiān)管實(shí)際工作方式，以保證其與合理使用it的一致性。4.2.5 合規(guī)（久其-實(shí)施指南）領(lǐng)導(dǎo)者應(yīng)該定期評估i

25、t滿足義務(wù)（法律法規(guī)、合同）、內(nèi)部方針、標(biāo)準(zhǔn)和專業(yè)指南的程度、指導(dǎo)責(zé)任人建立定期和例行機(jī)制、監(jiān)管it的符合性和一致性，以保證it的使用符合相關(guān)要求，確保評審的有效性、符合性和充分性。 評估 領(lǐng)導(dǎo)者應(yīng)該定期評估it滿足義務(wù)（法律法規(guī)、合同）、內(nèi)部方針、標(biāo)準(zhǔn)和專業(yè)指南的程度。 領(lǐng)導(dǎo)者應(yīng)該定期評估組織內(nèi)部對其自身的it治理體系的符合性。 指導(dǎo) 領(lǐng)導(dǎo)者應(yīng)該指導(dǎo)責(zé)任人，建立定期和例行機(jī)制以保證it的使用符合相關(guān)義務(wù)（法律法規(guī)、合同）、標(biāo)準(zhǔn)和專業(yè)指南 領(lǐng)導(dǎo)者應(yīng)該指導(dǎo)方針的建立和推行，以保證組織的it使用符合其內(nèi)部義務(wù)。 領(lǐng)導(dǎo)者應(yīng)該指導(dǎo)it員工遵循相關(guān)專業(yè)行為和開發(fā)的指南。 領(lǐng)導(dǎo)者應(yīng)該指導(dǎo)所有it相關(guān)活動合

26、乎倫理道德。 監(jiān)管 領(lǐng)導(dǎo)者應(yīng)該通過合適的報(bào)告和審計(jì)活動，監(jiān)管it的符合性和一致性，以確保評審對于評估業(yè)務(wù)得到滿足的程度是及時(shí)、全面和適宜。領(lǐng)導(dǎo)者應(yīng)該監(jiān)管it活動，包括資產(chǎn)和數(shù)據(jù)的廢棄，以保證環(huán)境、隱私、戰(zhàn)略知識管理、組織私有技術(shù)和其它相關(guān)義務(wù)得到滿足。4.2.6 績效（風(fēng)險(xiǎn)包含在里面）（軟件中心、萬隆-實(shí)施指南）領(lǐng)導(dǎo)者應(yīng)該評估管理者所建議的辦法、指導(dǎo)資源的分配、監(jiān)管it對業(yè)務(wù)的支持程度，以保證it具備支持業(yè)務(wù)過程所需的能力和潛力、保證it滿足組織的要求。評估 領(lǐng)導(dǎo)者應(yīng)該評估管理者所建議的辦法，以保證it具備支持業(yè)務(wù)過程所需的能力和潛力。 這些建議應(yīng)該處理日常運(yùn)作的業(yè)務(wù)和與使用it的相關(guān)風(fēng)險(xiǎn)。

27、領(lǐng)導(dǎo)者應(yīng)該評估由it活動所帶來的業(yè)務(wù)持續(xù)運(yùn)作的風(fēng)險(xiǎn)。 領(lǐng)導(dǎo)者應(yīng)該評估信息完整性的風(fēng)險(xiǎn)和對it資產(chǎn)的保護(hù)，包括相關(guān)知識產(chǎn)權(quán)和組織信息。領(lǐng)導(dǎo)者應(yīng)該評估有關(guān)使用it支持業(yè)務(wù)目標(biāo)的即時(shí)、有效的決策方案。 領(lǐng)導(dǎo)者應(yīng)該定期評估組織it治理體系的有效性和績效。 指導(dǎo) 領(lǐng)導(dǎo)者應(yīng)該按照商定的優(yōu)先級和預(yù)算，分配足夠的資源，以保證it滿足組織的要求。 領(lǐng)導(dǎo)者應(yīng)該指導(dǎo)責(zé)任者，以保證it對業(yè)務(wù)的支持。當(dāng)因業(yè)務(wù)原因需要時(shí)，維護(hù)準(zhǔn)確、不斷更新的數(shù)據(jù)免受損害或誤用。 監(jiān)管 領(lǐng)導(dǎo)者應(yīng)該監(jiān)管it對業(yè)務(wù)的支持程度。 領(lǐng)導(dǎo)者應(yīng)該監(jiān)管所分配的資源和預(yù)算優(yōu)先次序與業(yè)務(wù)目標(biāo)吻合的程度。領(lǐng)導(dǎo)者應(yīng)該監(jiān)管方針恰當(dāng)性的程度，如數(shù)據(jù)的準(zhǔn)確性和it利用的效率