Formation Implémenter et gérer un projet ISO 27001:2013, Lead Implementer certification


Formation Implémenter et gérer un projet ISO 27001:2013, Lead Implementer certification

Catalogue : Cybersécurité



Introduction
• Rappels. Terminologie ISO 27000 et ISO Guide 73.
• Définitions : menace, vulnérabilité, protection.
• La notion de risque (potentialité, impact, gravité).
• La classification CAID (Confidentialité, Auditabilité, Intégrité, Disponibilité).
• La gestion du risque (prévention, protection, report, externalisation).
• Les réglementations SOX, PCI-DSS, COBIT. Pour qui ? Pourquoi ? Interaction avec l’ISO.
• Vers la gouvernance IT, les liens avec ITIL® et l’ISO 20000.
• L’alignement COBIT, ITIL® et ISO 27002.
Les normes ISO 2700x
• Historique des normes de sécurité vues par l’ISO.
• Les standards BS 7799, leurs apports à l’ISO.
• Les normes actuelles (ISO 27001, 27002).
• Les normes complémentaires (ISO 27005, 27004, 27003...).
• La convergence avec les normes qualité 9001 et environnement 14001.
• L’apport des qualiticiens dans la sécurité.
La norme ISO 27001:2013
• Définition d’un Système de Gestion de la Sécurité des Systèmes (ISMS).
• L’approche “amélioration continue” comme principe fondateur, le modèle PDCA (roue de Deming).
• La norme ISO 27001 intégrée à une démarche qualité type SMQ.
• Détails des phases Plan-Do-Check-Act.
• De la spécification du périmètre SMSI au SoA (Statement of Applicability).
• L’apport des méthodes EBIOS, MEHARI dans sa démarche d’appréciation.
• Les audits internes obligatoires du SMSI.
• L’amélioration SMSI. La mise en œuvre d’actions correctives et préventives.
Les bonnes pratiques, référentiel ISO 27002:2013
• Objectifs de sécurité : Disponibilité, Intégrité et Confidentialité.
• Structuration en domaine/chapitres (niveau 1), objectifs de contrôles (niveau 2) et contrôles (niveau 3).
• Les nouvelles bonnes pratiques ISO 27002:2013, les mesures supprimées de la norme ISO 27001:2005. Les modifications.
• La norme ISO 27002:2013 : les 14 domaines et 113 bonnes pratiques.
• Exemples d’application du référentiel à son entreprise : les mesures de sécurité clés indispensables.
La mise en œuvre de la sécurité dans un projet SMSI
• Des spécifications sécurité à la recette sécurité.
• Les normes ISO 27003, 15408 comme aide à la mise en œuvre.
• Intégrer le cycle PDCA dans le cycle de vie du projet.
• La recette du projet, comment la réaliser : test d’intrusion et/ou audit technique ?
• Préparer les indicateurs. L’amélioration continue.
• Mettre en place un tableau de bord. Exemples.
• L’apport de la norme 27004.
• La gestion des vulnérabilités dans un SMSI : scans réguliers, Patch Management...
Les audits de sécurité ISO 19011:2011
• Processus continu et complet. Etapes, priorités.
• Les catégories d’audits, organisationnel, technique...
• L’audit interne, externe, tierce partie, choisir son auditeur.
• Le déroulement type ISO de l’audit, les étapes clés.
• Les objectifs d’audit, la qualité d’un audit.
• La démarche d’amélioration pour l’audit.
• L’audit organisationnel : démarche, méthodes.
Les bonnes pratiques juridiques
• La propriété intellectuelle des logiciels, la responsabilité civile délictuelle et contractuelle.
• La responsabilité pénale, les responsabilités des dirigeants, la délégation de pouvoir, les sanctions. La loi LCEN.
• Conformité ISO et conformité juridique : le nouveau domaine 18 de la norme ISO 27002:2013.
La certification ISO de la sécurité du SI, la relation auditeur-audité
• Intérêt de cette démarche, la recherche du “label”.
• Les critères de choix du périmètre. Domaine d’application. Implication des parties prenantes.
• L’ISO : complément indispensable des cadres réglementaires et standard (SOX, ITIL®...).
• Organismes certificateurs, choix en France et en Europe.
• Norme ISO 27006, obligations pour les certificateurs.
• Coûts récurrents et non récurrents de la certification.
Exercices travaux pratiques
• Des projets types de sécurité vous seront proposés afin d’expérimenter par la pratique.
• La mise en œuvre d’une démarche PDCA et de bonnes pratiques ISO 27001 et ISO 27002.
• Vous construirez une déclaration d’applicabilité à partir d’une analyse de risques de type ISO 27001 ou 27005.
• Vous apprendrez à déterminer les indicateurs clés d’une PSSI et d’un projet de sécurité.
• Exercices écrits et oraux de mises en situations, tests de connaissance de type QCM.
Révision finale et examen
• Pour clore la préparation, révision finale.
• Trucs, astuces et pièges à éviter pour mieux vous préparer au passage de la certification.
• L’examen écrit dure 3h30.
• Le déroulement de l’examen écrit est présenté par le formateur lors de la première journée de formation.
• Contenu de l’examen, règles à respecter. Normes ou autres documents mis à la disposition des candidats.
• Modalités mises en œuvre pour respecter la confidentialité des copies.
• Points minimaux requis pour l’obtention de l’examen écrit.
• L’examen comporte un questionnaire à choix multiples relatif à la norme ISO/IEC 27001.
• L’examen comporte également des exercices pratiques et une étude de cas.
• Les résultats de l’examen vous parviendront par courrier 4 à 6 semaines plus tard.

Fiche de la formation



 Cible :

RSSI, Risk Managers, directeurs ou responsables informatiques, MOE/ MOA, ingénieurs ou correspondants Sécurité, chefs de projets, auditeurs internes et externes, futurs “audités”.


 Prérequis :

Connaissances de base de la sécurité informatique.


 Durée : 5 jours

 Type : Stage pratique


 Contactez-nous