Formation Audit, indicateurs et contrôle de la sécurité


Formation Audit, indicateurs et contrôle de la sécurité

Catalogue : Cybersécurité



Introduction : le contrôle de la sécurité
• Rappels. Terminologie ISO 27000.
• Mise en œuvre du contrôle de la sécurité.
• Evaluation de la sécurité court-moyen-long terme.
• Le pilotage de la sécurité : la vue "manager".
• Les revues de sécurité et les éléments d'entrée.
• La lisibilité de sa sécurité par rapport aux éditeurs.
• Rappel des contraintes réglementaires et normatives.
Les audits de sécurité
• Le métier de l'auditeur sécurité.
• Identifier le contexte de la mission.
• La préparation de la mission, l'analyse du référentiel.
• La classification des écarts, déterminer les critères de risques retenus.
• Revue documentaire.
• La préparation des interviews.
• Les tests techniques.
• L'audit sur site : ce qu'il faut faire (et ne pas faire).
Les indicateurs et instruments de mesures
• La présentation des indicateurs et tableaux de bord, exemples de formats.
• Une typologie d'indicateurs. A quoi sert mon indicateur ?
• Le nombre et le choix des indicateurs en fonction du domaine d'application choisi.
• L'inscription dans une démarche ISO 27001. Les revues et réexamen de SMSI.
• La norme 27004 "Information Security Management Measurements" : l'essentiel.
• Les exemples de la norme sur des contrôles 27001 et mesures Annexe A.
Les tableaux de bord et le pilotage de la sécurité
• Le suivi de la PSSI, la base de calcul de retour sur investissement.
• Les tableaux de bord : pour qui, pour quoi ? Suivi des actions et de la conformité PSSI pour le RSSI.
• Suivi des niveaux de risques acceptables pour les directions opérationnelles.
• Le référentiel "Domaines - Bonnes pratiques" comme instrument de suivi.
• Le référentiel "Type de pratiques/maturité" comme cible à atteindre.
• Exemples de tableaux de bord standard.
Conclusion
• Le choix des indicateurs.
• La construction de mon premier tableau de bord.
• Mise en situation audit.
Etude de cas
Exercices sur projets types "Sécurité logique", "Protection des biens et des personnes", "Sécurité des communications", "Sécurité Application".

Fiche de la formation



 Cible :

RSSI ou correspondants sécurité, architectes de sécurité, responsables informatiques, ingénieurs ou techniciens devant intégrer des exigences de sécurité.


 Prérequis :

Connaissances de base en sécurité informatique.


 Durée : 2 jours

 Type : Synthese


 Contactez-nous