ICS 35.080 GB L 77 中华人民共和国国家标准 GB/T 34960.1---2017 信息技术服务 治理第1部分：通用要求 Information technology service--Governance- Part 1:General requirements 2017-11-01发布 2018-02-01实施 中华人民共和国国家质量监督检验检疫总局 发布 中国国家标准化管理委员会 GB/T 34960.1-2017 目 次 前言 引言 范围 规范性引用文件 2 : 3 术语和定义 治理原则 信息技术治理模型 信息技术治理框架· 顶层设计的治理 7.1 战略 7.2 组织 7.3 架构 8. 管理体系的治理 8.1 概述 8.2 质量管理 8.3 项目管理 8.4 投资管理 8.5 服务管理 8.6 业务连续性管理 8.7 信息安全管理 8.8 风险管理 8.9 供方管理 8.10 资产管理 8.11 其他管理： 9 资源的治理 9.1 概述 9.2 基础设施 9.3 应用系统 9.4 数据 参考文献· GB/T 34960.1-2017 前言 GB/T34960《信息技术服务 ：：治理》分为以下5个部分： 第1部分：通用要求； 第2部分：实施指南； 第3部分：绩效评价； 第4部分：审计导则； 第5部分：数据治理规范。 本部分为GB/T34960的第1部分。 本部分按照GB/T1.1-2009给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本部分由全国信息技术标准化技术委员会（SAC/TC28）提出并归口。 本部分起草单位：上海计算机软件技术开发中心、中国电子技术标准化研究院、上海万隆信息技术 咨询有限公司、北京华胜天成科技股份有限公司、四川久远银海软件股份有限公司、北京慧点科技股份 有限公司、广州赛宝认证中心服务有限公司、用友软件股份有限公司、北京久其软件股份有限公司、上海 企源科技有限公司、联通系统集成有限公司、上海翰纬信息管理咨询有限公司、成都信息化技术应用发 展中心、上海北塔软件股份有限公司、辽 品监督检验院、中金数据系统有限公司、北京信 城通数码科技有限公司、快威科技集团有限公 技有限公司、软通动力信息技术（集团）有限公司、成都勤智数码科技股份有限公司、北京荣之联科技股 份有限公司、上海瀚昌信息科技发展有限公司、东华软件股份公司、北京神州泰岳软件股份有限公司、北 京随达信科技有限公司、天津天大康博科技有限公司、神州数码信息服务股份有限公司、南威软件股份 有限公司、上海市浦东新区信息化协会、广州市金禧信息技术服务有限公司、北京中扬天成科技有限公 本部分主要起草人：张绍华、张明英、宋跃武、俞文平、宋俊典、李鸣、李刚、李璐、蔡震宇、张肠肠 孙佩、潘蓉、刘小茵、邱克、但强、杨琳、朱圣哲、刘越男、向纪兰、徐、魏东、徐飞、刘玲、王春涛、李锋、 杨泉、董跃、潘纯峰、肖建一、王庆磊、刘文海、郑晨光、李娜、王铮、沈国华、王永军、甘琼、丁富强、吴越、 陆雷、杨爽、熊健淞、左天祖。 GB/T 34960.1-2017 引言 随着各行业、各领域信息化的迅速发展，信息技术已成为大部分组织开展业务的有效支撑。为了促 进组织有效、高效、合理地利用信息技术，有必要在组织的信息化规划、建设、运营和维护过程中，提出信 息技术相关的治理要求，从而实现战略二致、风险可控、运营合规和绩效提升的目标。 GB/T34960的本部分参照了GB/T26317-2010&公司治理风险管理指南》和《OECD公司治理原 则》，引入了ISO/IEC38500《组织的信息技术治理》的模型，融合了《企业内部控制基本规范》及相关行 业监管和风险控制要求，旨在指导组织建立信息技术治理体系。 GB/T 34960.1-2017 信息技术服务治理第1部分：通用要求 1范围 GB/T34960的本部分规定了信息技术治理（以下简称：IT治理）的模型和框架，规定了实施IT治 理的原则，以及开展信息技术顶层设计、管理体系和资源的治理要求。 本部分适用于： a） 建立组织的IT治理体系，并实施自我评价： b） 开展信息技术审计； ) 研发、选择和评价IT治理相关的软件或解决方案； d) 第三方对组织的IT治理能力进行评价。 各级各类信息化主管部门可根据法律法规、部门规章的要求，使用本部分对所管辖各类组织的IT 治理提出要求，并进行评估、指导和监督。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件 GB/T 19001 质量管理体系： 要求 GB/T 19668.1 信息技术服务 监理 第1部分：总则 GB/T 28827.1 信息技术服务 运行维护第1部分：通用要求 GB/T 28827.2 信息技术服务 运行维护 第2部分：交付规范 GB/T 28827.3 信息技术服务 运行维护 第3部分：应急响应规范 SJ/T 11445.2 信息技术服务 外包：第2部分：数据（信息）保护规范 3：术语和定义 下列术语和定义适用于本文件。 3.1 信息技术治理informationtechnologygovernance 专注于信息技术体系及其绩效和风险管理的一组治理规则，由领导关系、组织结构和过程组成，以 确保信息技术能够支撑组织的战略目标。 [GB/T29264--2012，定义2.6] 3.2 治理主体 governance body 评估、指导、监督组织IT治理的人或团体。 3.3 治理要素 governance element 实施IT治理应关注的关键治理对象或过程。 GB/T34960.1--2017 3.4 治理域governancedomain 按照特定层次、功能划分的治理范围，是治理要素的集合， 3.5 信息技术架构 information technology architecture 为满足组织信息技术战略、管理体系、业务发展而建立的应用和支撑体系。 3.6 能力..capability 完成任务或履行角色责任所需知识、技能、经验及其他相关资源的组合。 4: 治理原则 组织应按本部分建立T治理体系：形成文件并实施、持续改进并优化.确保信息技术应用的绩效 和符合性。组织应遵循以下治理原则： a) IT治理是公司治理的组成部分，最高决策者为IT治理最终责任人，决策层为IT治理主体； b) 建立IT治理机构，成员至少包括内部监督部门、重要业务部门和信息技术部门； c) 明确风险偏好和风险容忍度，防范因违规造成的重大财务和声誉损失、监管处罚、法律制裁等； (P 确保利益相关方理解预期收益、支持IT投资，接受可能存在的风险及应对措施； e) ：信息技术治理模型 IT治理模型包含治理的内外部要求、治理主体、治理方法，以及信息技术及其应用的管理体系，见 图1。 组织章程 监管职责 利益相关方期望 治理主体 业务压力 详估 业务要求 指导 监督 方案和规划 战略和方针 绩 效 和 符合性 管理者 信息技术及其应用的管理体系 图1治理模型 治理主体以组织章程、监管职责、利益相关方期望、业务压力和业务要求为驱动力，建立评估、指导、 2 GB/T 34960.1-2017 监督的治理过程并明确任务。 治理主体应通过信息技术战略和方针，指导管理者对信息技术及其应用的管理体系进行完善，并对 信息技术相关的方案和规划进行评估、对信息技术应用的绩效和符合性进行监督。 组织应结合治理原则和模型，在IT治理实施的过程中，开展自我监督、自我评估和审计工作，并持 续改进。 6 信息技术治理框架 索组成，见图2。 顶层设计治理域包含信息技术的战略，以及支撑战略的组织和架构； b) 管理体系治理域包含信息技术相关的质量管理、项目管理、投资管理、服务管理、业务连续性管 理、信息安全管理、风险管理、供方管理、资产管理和其他管理； 资源治理域包含信息技术相关的基础设施、应用系统和数据。 顶层设计 战略 组织 架构 管理体系 质量管理 项目管理 投资管理 服务管理 业务连续性管理 信息安全管理 风验管理 供方管理 资产管理 其管理 资源 基础设施 应用系统 数据 图2治理框架 7: ：顶层设计的治理 7.1 : 战略 IT治理主体应指导、评估和监督信息技术战略，明确信息技术战略目标并持续改进。至少应： a） 评估信息技术内外部环境、制定与组织战略一致的信息技术战略； b） 指导和评估信息技术规划和方案，并促进其管理体系的持续优化和改进； 明确风险偏好、符合性、绩效和审计等要求，并进行评估和监督。 3 GB/T34960.1--2017 7.2组织 IT治理主体应指导、评估和监督信息技术组织机制，并确保利益相关方的理解和支持。至少应： a）指导信息技术组织架构的建立和完善，明确授权、决策和沟通机制，并进行评估和监督； b) 营造适宜于IT治理的组织文化； c) 提升人员的IT治理意识、专业胜任能力，定期开展相关教育培训 7.3架构 IT治理主体应指导、评估和监督信息技术架构，支撑信息技术战略目标的实现。至少应： a） 指导信息技术架构的建立，并对规划、设计、实施、服务等过程进行评估和监督； b) 评估信息技术发展内外部环境的变化，并对信息技术架构进行持续改进； c) 建立与信息技术架构相适应的管理体系，并进行评估和持续改进： 8: 管理体系的治理 8.1概述 治理主体应从完整性、有效性、适宜性、符合性、成本效益和致性等视角，指导管理者遵循计划、执 行、检查、改