Formation Implémenter et gérer un projet ISO 27001:2013 préparation aux certifications


Formation Implémenter et gérer un projet ISO 27001:2013 préparation aux certifications

Catalogue : Cybersécurité



Introduction
• Rappels. Terminologie ISO 27000 et ISO Guide 73.
• Définitions : menace, vulnérabilité, protection.
• La notion de risque (conséquence, impact, vraisemblance).
• La classification minimale CID (Confidentialité, Intégrité, Disponibilité).
• La gestion du risque (réduction, maintien, refus, partage).
• Analyse de la sinistralité. Tendances. Enjeux.
• Les réglementations métiers PCI-DSS, COBIT. Pour qui ? Pourquoi ? Interaction avec l’ISO.
• Vers la gouvernance IT, les liens avec ITIL® et l’ISO 20000.
• L’alignement ISO – NIS/LPM : vers une convergence ?
Les normes ISO 2700x
• Historique des normes de sécurité vues par l'ISO.
• Les standards BS 7799, leurs apports à l'ISO.
• Les normes fondatrices (ISO 27001, 27002).
• Les normes indispensables (ISO 27005, 27004, 27003, etc).
• La convergence avec les autres normes « Système de Management ».
La norme ISO 27001:2013
• Définition d'un Système de Gestion de la Sécurité des Systèmes (ISMS).
• Objectifs à atteindre par votre SMSI.
• L'approche "amélioration continue" comme principe fondateur, le modèle PDCA (roue de Deming).
• La norme ISO 27001 intégrée à une démarche globale de gouvernance de la SSI.
• Détails des phases Plan-Do-Check-Act.
• De la spécification du périmètre SMSI au SoA (Statement of Applicability).
• Les recommandations de l'ISO 27001 pour le management des risques.
• De l'importance de l'appréciation des risques. Choix d'une méthode type ISO 27005:2018.
• L’apport des méthodes publiées (exemple EBIOS RM) dans leur démarche d’appréciation.
• L’adoption de mesures de sécurité techniques et organisationnelles efficientes.
• Les audits internes obligatoires du SMSI. Construction d’un programme d’audit.
• L’amélioration SMSI. La mise en œuvre d’actions correctives et préventives.
• L’annexe A comme support référentiel - lien avec la norme 27002.
Les bonnes pratiques, référentiel ISO 27002:2013
• Objectifs de sécurité : Disponibilité, Intégrité et Confidentialité.
• Structuration en domaine/chapitres (niveau 1), objectifs de contrôles (niveau 2) et contrôles (niveau 3).
• Les nouvelles bonnes pratiques ISO 27002:2013, les mesures supprimées de la norme ISO 27001:2005. Les modifications.
• La norme ISO 27002:2013 : les 14 domaines et 114 bonnes pratiques.
• Exemples d'application du référentiel à son entreprise : les mesures de sécurité clés indispensables.
• Les mesures de la réduction des risques sur les actifs supports type personnes, bien, informatique.
• Les mesures indispensables au partage via le domaine 15.
La mise en œuvre de la sécurité dans un projet SMSI
• Des spécifications sécurité à la recette sécurité.
• Comment respecter la PSSI et les exigences de sécurité du client/MOA ?
• De l'analyse de risques à la construction de la déclaration d'applicabilité.
• Intégration de mesures de sécurité au sein des développements spécifiques.
• Les règles à respecter pour l'externalisation.
• Assurer un suivi du projet dans sa mise en œuvre puis sa mise en exploitation.
• Les rendez-vous "Sécurité" avant la recette.
• Intégrer le cycle PDCA dans le cycle de vie du projet.
• La recette du projet, comment la réaliser ? Test d'intrusion et/ou audit technique ?
• Préparer les indicateurs. L'amélioration continue.
• Mettre en place un tableau de bord. Exemples.
• L’apport de la norme 27004 :2016 dans la construction des métriques de conformité et efficacité.
• La gestion des vulnérabilités dans un SMSI : scans réguliers, Patch Management...
Les audits de sécurité ISO 19011:2018
• Processus continu et complet. Étapes, priorités.
• La construction du programme d’audits internes.
• Les catégories d'audits, organisationnels, techniques, etc.
• L'audit interne, externe, tierce partie.
• Le déroulement type ISO de l'audit, les étapes clés.
• Les objectifs d'audit, la qualité d'un audit.
• La démarche d'amélioration pour l'audit.
• Les qualités des auditeurs, leur évaluation.
• L'audit organisationnel : démarche, méthodes.
La certification ISO de la sécurité du SI
• Intérêt de cette démarche, la recherche du "label".
• Les critères de choix du périmètre. Domaine d’application. Implication des parties intéressées.
• L’ISO : complément indispensable des cadres réglementaires et standards ?
• Les enjeux business et/ou réglementaires escomptés.
• Organismes certificateurs, choix en France et dans le monde.
• Démarche d'audit, étapes et charges de travail.
• Normes ISO 17021 et ISO 27006, obligations pour les certificateurs.
• Coûts de la certification, ROI.

 

Fiche de la formation



 Cible :

RSSI, Risk Managers, directeurs ou responsables informatiques, MOE/ MOA, ingénieurs ou correspondants Sécurité, chefs de projets, auditeurs internes et externes, futurs "audités".


 Prérequis :

Connaissances de base de la sécurité informatique.


 Durée : 3 jours

 Type : Séminaire


 Contactez-nous