书 书 书犐犆犛 ３５ ． ０８０ 犔 ７７ /G21 /G22 /G23 /G24 /G25 /G26 /G27 /G27 /G28 /G29 /G2A 犌犅 ／ 犜 ３４９６０ ． １ — ２０１７ /G21 /G22 /G23 /G24 /G25 /G26 　 /G27 /G28 　 /G29 １ /G2A /G2B ： /G2C /G2D /G2E /G2F 犐狀犳狅狉犿犪狋犻狅狀狋犲犮犺狀狅犾狅犵狔狊犲狉狏犻犮犲 — 犌狅狏犲狉狀犪狀犮犲 — 犘犪狉狋 １ ： 犌犲狀犲狉犪犾狉犲狇狌犻狉犲犿犲狀狋狊 ２０１７  １１  ０１ /G30 /G31 ２０１８  ０２  ０１ /G32 /G33 /G21 /G22 /G23 /G24 /G25 /G26 /G27 /G27 /G28 /G2B /G2C /G2D /G2E /G2F /G30 /G2F /G31 /G32 /G33 /G21 /G27 /G27 /G28 /G29 /G2A /G34 /G35 /G36 /G37 /G38 /G39 /G30 /G31目 　　 次 前言 Ⅰ ………………………………………………………………………………………………………… 引言 Ⅱ ………………………………………………………………………………………………………… １ 　 范围 １ ……………………………………………………………………………………………………… ２ 　 规范性引用文件 １ ………………………………………………………………………………………… ３ 　 术语和定义 １ ……………………………………………………………………………………………… ４ 　 治理原则 ２ ………………………………………………………………………………………………… ５ 　 信息技术治理模型 ２ ……………………………………………………………………………………… ６ 　 信息技术治理框架 ３ ……………………………………………………………………………………… ７ 　 顶层设计的治理 ３ ………………………………………………………………………………………… 　 ７．１ 　 战略 ３ ………………………………………………………………………………………………… 　 ７．２ 　 组织 ４ ………………………………………………………………………………………………… 　 ７．３ 　 架构 ４ ………………………………………………………………………………………………… ８ 　 管理体系的治理 ４ ………………………………………………………………………………………… 　 ８．１ 　 概述 ４ ………………………………………………………………………………………………… 　 ８．２ 　 质量管理 ４ …………………………………………………………………………………………… 　 ８．３ 　 项目管理 ４ …………………………………………………………………………………………… 　 ８．４ 　 投资管理 ４ …………………………………………………………………………………………… 　 ８．５ 　 服务管理 ５ …………………………………………………………………………………………… 　 ８．６ 　 业务连续性管理 ５ …………………………………………………………………………………… 　 ８．７ 　 信息安全管理 ５ ……………………………………………………………………………………… 　 ８．８ 　 风险管理 ５ …………………………………………………………………………………………… 　 ８．９ 　 供方管理 ５ …………………………………………………………………………………………… 　 ８．１０ 　 资产管理 ５ …………………………………………………………………………………………… 　 ８．１１ 　 其他管理 ５ …………………………………………………………………………………………… ９ 　 资源的治理 ６ ……………………………………………………………………………………………… 　 ９．１ 　 概述 ６ ………………………………………………………………………………………………… 　 ９．２ 　 基础设施 ６ …………………………………………………………………………………………… 　 ９．３ 　 应用系统 ６ …………………………………………………………………………………………… 　 ９．４ 　 数据 ６ ………………………………………………………………………………………………… 参考文献 ７ ……………………………………………………………………………………………………… 犌犅 ／ 犜 ３４９６０ ． １ — ２０１７ 前 　　 言 　　 ＧＢ ／ Ｔ３４９６０ 《 信息技术服务 　 治理 》 分为以下 ５ 个部分 ： ——— 第 １ 部分 ： 通用要求 ； ——— 第 ２ 部分 ： 实施指南 ； ——— 第 ３ 部分 ： 绩效评价 ； ——— 第 ４ 部分 ： 审计导则 ； ——— 第 ５ 部分 ： 数据治理规范 。 本部分为 ＧＢ ／ Ｔ３４９６０ 的第 １ 部分 。 本部分按照 ＧＢ ／ Ｔ１．１ — ２００９ 给出的规则起草 。 请注意本文件的某些内容可能涉及专利 。 本文件的发布机构不承担识别这些专利的责任 。 本部分由全国信息技术标准化技术委员会 （ ＳＡＣ ／ ＴＣ２８ ） 提出并归口 。 本部分起草单位 ： 上海计算机软件技术开发中心 、 中国电子技术标准化研究院 、 上海万隆信息技术咨询有限公司 、 北京华胜天成科技股份有限公司 、 四川久远银海软件股份有限公司 、 北京慧点科技股份有限公司 、 广州赛宝认证中心服务有限公司 、 用友软件股份有限公司 、 北京久其软件股份有限公司 、 上海企源科技有限公司 、 联通系统集成有限公司 、 上海翰纬信息管理咨询有限公司 、 成都信息化技术应用发展中心 、 上海北塔软件股份有限公司 、 辽宁省电子信息产品监督检验院 、 中金数据系统有限公司 、 北京信城通数码科技有限公司 、 快威科技集团有限公司 、 北京富通金信计算机系统服务有限公司 、 北京护航科技有限公司 、 软通动力信息技术 （ 集团 ） 有限公司 、 成都勤智数码科技股份有限公司 、 北京荣之联科技股份有限公司 、 上海瀚昌信息科技发展有限公司 、 东华软件股份公司 、 北京神州泰岳软件股份有限公司 、 北京随达信科技有限公司 、 天津天大康博科技有限公司 、 神州数码信息服务股份有限公司 、 南威软件股份有限公司 、 上海市浦东新区信息化协会 、 广州市金禧信息技术服务有限公司 、 北京中扬天成科技有限公司 、 中国电信上海理想信息产业 （ 集团 ） 有限公司 、 上海谷航信息科技发展有限公司 。 本部分主要起草人 ： 张绍华 、 张明英 、 宋跃武 、 俞文平 、 宋俊典 、 李鸣 、 李刚 、 李璐 、 蔡震宇 、 张 、 孙佩 、 潘蓉 、 刘小茵 、 邱兢 、 但强 、 杨琳 、 朱圣哲 、 刘越男 、 向纪兰 、 徐 、 魏东 、 徐飞 、 刘玲 、 王春涛 、 李锋 、 杨泉 、 董跃 、 潘纯峰 、 肖建一 、 王庆磊 、 刘文海 、 郑晨光 、 李娜 、 王铮 、 沈国华 、 王永军 、 甘琼 、 丁富强 、 吴越 、 陆雷 、 杨爽 、 熊健淞 、 左天祖 。 Ⅰ 犌犅 ／ 犜 ３４９６０ ． １ — ２０１７ 引 　　 言 　　 随着各行业 、 各领域信息化的迅速发展 ， 信息技术已成为大部分组织开展业务的有效支撑 。 为了促进组织有效 、 高效 、 合理地利用信息技术 ， 有必要在组织的信息化规划 、 建设 、 运营和维护过程中 ， 提出信息技术相关的治理要求 ， 从而实现战略一致 、 风险可控 、 运营合规和绩效提升的目标 。 ＧＢ ／ Ｔ３４９６０ 的本部分参照了 ＧＢ ／ Ｔ２６３１７ — ２０１０ 《 公司治理风险管理指南 》 和 《 ＯＥＣＤ 公司治理原则 》， 引入了 ＩＳＯ ／ ＩＥＣ３８５００ 《 组织的信息技术治理 》 的模型 ， 融合了 《 企业内部控制基本规范 》 及相关行业监管和风险控制要求 ， 旨在指导组织建立信息技术治理体系 。 Ⅱ 犌犅 ／ 犜 ３４９６０ ． １ — ２０１７ 信息技术服务 　 治理 　 第 １ 部分 ： 通用要求 １ 　 范围 ＧＢ ／ Ｔ３４９６０ 的本部分规定了信息技术治理 （ 以下简称 ： ＩＴ 治理 ） 的模型和框架 ， 规定了实施 ＩＴ 治 理的原则 ， 以及开展信息技术顶层设计 、 管理体系和资源的治理要求 。 本部分适用于 ： ａ ） 　 建立组织的 ＩＴ 治理体系 ， 并实施自我评价 ； ｂ ） 　 开展信息技术审计 ； ｃ ） 　 研发 、 选择和评价 ＩＴ 治理相关的软件或解决方案 ； ｄ ） 　 第三方对组织的 ＩＴ 治理能力进行评价 。 各级各类信息化主管部门可根据法律法规 、 部门规章的要求 ， 使用本部分对所管辖各类组织的 ＩＴ 治理提出要求 ， 并进行评估 、 指导和监督 。 ２ 　 规范性引用文件 下列文件对于本文件的应用是必不可少的 。 凡是注日期的引用文件 ， 仅注日期的版本适用于本文 件 。 凡是不注日期的引用文件 ， 其最新版本 （ 包括所有的修改单 ） 适用于本文件 。 ＧＢ ／ Ｔ１９００１ 　 质量管理体系 　 要求 ＧＢ ／ Ｔ１９６６８．１ 　 信息技术服务 　 监理 　 第 １ 部分