Системы управления ИТ в организации ИТ и их использование должны быть основаны на системе стратегического управления организацией.

Фактическая система стратегического управления будет определяться самой организацией и зависит от ее размера и функций, а также решений руководящего органа относительно зоны ответственности, но основные элементы должны соответствовать рисунку 2. Заштрихованная область соответствует элементам управления.

Рисунок 2 — Основные элементы системы стратегического управления ИТ

Основные элементы системы стратегического управления ИТ должны включать в себя:

1. принципы надлежащего стратегического управления ИТ. Система стратегического управления должна основываться на принципах для надлежащего стратегического управления ИТ, как описано в ИСО/МЭК 38500 (приложение А настоящего стандарта). Данные принципы должны помогать организации в определении стратегического управления в области использования ИТ;
2. стратегии и политики использования ИТ в организации. Стратегии и политики использования ИТ устанавливаются руководящим органом и передаются руководителям для обеспечения основы применения стратегического управления ИТ для систем управления организации. Несмотря на то, основаны ли они на обязательных требованиях законодательства и нормативных правилах в различных юрисдикциях или на требованиях для организаций частного сектора, стратегии и политики должны учитывать специфические требования руководящего органа и руководителей организации. Стратегии и политики, основанные на принципах поведения, описанных в ИСО/МЭК 38500, должны быть определены, распространены, и результаты их использования проверены. Они могут включать в себя:
   • бизнес–цели для использования ИТ;
   • приоритеты и выделенные ресурсы;
   • уровень полномочий и права принятия решений, включая зарезервированные для руководящего органа права;
   • необходимые действия для принятия решений на основе согласованных стратегий и политик использования ИТ, в том числе обязанности, ограничения, полномочия, исключительные ситуации и отчетность;
   • уровень риск–аппетита относительно использования ИТ, и специфические требования контроля рисков;
   • политики, которые определяют требуемое поведение в отношении использования ИТ;
3. бизнес–планирование для ИТ. Процессы бизнес–планирования должны учитывать текущие и будущие возможности ИТ для обеспечения соответствия стратегического плана ИТ текущим и действующим потребностям бизнес–стратегии организации. Бизнес–планирование включает в себя бизнес–инновации, которые доступны с помощью ИТ. Следовательно, бизнес–планирование для ИТ является неотъемлемой частью системы стратегического управления ИТ в организации;
4. управление рисками. Система стратегического управления ИТ должна включать в себя надежные практики управления рисками, охватывающие все действия, связанные с ИТ, и принятие решений в этой области. Управление рисками в области ИТ должно основываться на общих принципах управления рисками в организации;
5. отчетность. Необходимо определить и утвердить механизмы предоставления отчетности. Данный процесс может включать в себя текущую оценку эффективности (как эффективности, так и соответствия требованиям) ИТ стратегий, планов и бизнес–подразделений организации;
6. системы оперативного управления ИТ. Системы оперативного управления ИТ должны функционировать в рамках стратегий и политик, определенных руководящим органом для достижения стратегических и оперативных целей организации. Эти системы включают в себя спрос на ИТ и предложение ИТ для внутренних подразделений организации, специализированных подразделений ИТ организации или внешних поставщиков и внешние сервисные организации. Ответственность за внедрение систем оперативного управления для достижения целей организации лежит на руководителях организации;
7. использование ИТ в организации. Фокус системы стратегического управления ИТ сосредоточен на использовании ИТ. Использование ИТ, соответствующее потребностям бизнеса, должно быть предметом стратегий и политик, определенных как часть системы стратегического управления, так же как систем оперативного управления ИТ в организации.

Система стратегического управления должна предоставлять руководителям возможность действовать максимально свободно при выполнении ежедневных задач. Стратегическое управление подразумевает общие ценности и цели, определение направления, обеспечение ресурсами и делегирование полномочий для того, чтобы руководители могли действовать автономно и с надлежащей оперативностью в изменяющейся среде [из 4.3 Основные элементы системы стратегического управления ИТ ГОСТ Р 58608–2019]