Segundo a norma:
"O objetivo da ISO 38.500 é fornecer uma estrutura de princípios para os dirigentes usarem na avaliação, gerenciamento e monitoramento do uso da tecnologia da informação em suas organizações."
A norma estabelece ainda a necessidade de Avaliar, Dirigir e Monitorar a governança de TI da organização, mantendo o alinhamento com os objetivos estabelecidos na estratégia corporativa.
Para cada um dos seis princípios (responsabilidade, estratégia, aquisição, desempenho, conformidade e comportamento humano), a norma destaca as diretrizes básicas a serem seguidas (avaliar, dirigir, monitorar).
Os princípios da ISO 38500 são:
Responsabilidade: os indivíduos e grupos dentro da organização compreendem e aceitam suas responsabilidades com respeito ao fornecimento de demanda da TI. Aqueles responsáveis pelas ações também tem autoridade para desempenhar tais ações.
Estratégia: a estratégia de negócio da organização levam em conta as capacidades atuais e futuras de TI; os planos estratégicos para TI satisfazem as necessidades atuais e continuas da estrategia de negocio da organização.
Aquisição: as aquisições de TI são feitas por razões válidas, com base em analise apropriada a e contínua. com tomada de decisão clara e transparente. Existe um equilíbrio apropriado entre benefícios, oportunidades, custos e riscos, de curto e longo prazo.
Desempenho: a TI é adequada ao proposito de apoiar a organização, fornecendo serviços, níveis de serviços e qualidade de serviços necessários para atender aos requisitos atuais e futuros de negócio.
Conformidade: a TI cumpre com toda a legislação e regulamentos obrigatórios. As políticas e práticas são claramente definidas, implementadas e fiscalizadas.
Comportamento Humano: as políticas, práticas, e decisões de TI demonstram respeito pelo Comportamento Humano, incluindo as necessidades atuais e futuras de todas as "pessoas no processo".
Fonte: NBR ISO/IEC 38500:2009, Governança Corporativa de Tecnologia da Informação