Formation Implémenter et gérer un projet ISO 27001:2013, Lead Auditor certification


Formation Implémenter et gérer un projet ISO 27001:2013, Lead Auditor certification

Catalogue : Cybersécurité



Introduction
• Rappels. Terminologie ISO 27000 et ISO Guide 73.
• Définitions : menace, vulnérabilité, protection.
• La notion de risque (potentialité, impact, gravité).
• La classification CAID (Confidentialité, Auditabilité, Intégrité, Disponibilité).
• La gestion du risque (prévention, protection, report, externalisation).
• Analyse de la sinistralité. Tendances. Enjeux.
• Les réglementations SOX, PCI-DSS, COBIT. Pour qui ? Pourquoi ? Interaction avec l’ISO.
• Vers la gouvernance IT, les liens avec ITIL® et l’ISO 20000.
• L’alignement COBIT, ITIL® et ISO 27002.
Les normes ISO 2700x
• Historique des normes de sécurité vues par l’ISO.
• Les standards BS 7799, leurs apports à l’ISO.
• Les normes actuelles (ISO 27001, 27002).
• Les normes complémentaires (ISO 27005, 27004, 27003...).
• La convergence avec les normes qualité 9001 et environnement 14001.
• L’apport des qualiticiens dans la sécurité.
La norme ISO 27001:2013
• Définition d’un Système de Gestion de la Sécurité des Systèmes (ISMS).
• Objectifs à atteindre par votre SMSI.
• L’approche “amélioration continue” comme principe fondateur, le modèle PDCA (roue de Deming).
• Détails des phases Plan-Do-Check-Act.
• Les recommandations de l’ISO 27001 pour le management des risques.
• De l’importance de l’appréciation des risques. Choix d’une méthode type ISO 27005:2011.
• L’apport des méthodes EBIOS, MEHARI dans sa démarche d’appréciation.
• Les audits internes obligatoires du SMSI. Construction d’un programme.
• Les mesures et contre-mesures des actions correctives et préventives.
• L’annexe A en lien avec la norme 27002.
Les bonnes pratiques, référentiel ISO 27002:2013
• Objectifs de sécurité : Disponibilité, Intégrité et Confidentialité.
• Les nouvelles bonnes pratiques ISO 27002:2013, les mesures supprimées de la norme ISO 27001:2005. Les modifications.
• La norme ISO 27002:2013 : les 14 domaines et 113 bonnes pratiques.
• Exemples d’application du référentiel à son entreprise : les mesures de sécurité clés indispensables.
La mise en œuvre de la sécurité dans un projet SMSI
• Des spécifications sécurité à la recette sécurité.
• Comment respecter la PSSI et les exigences de sécurité du client/MOA ?
• Les normes ISO 27003, 15408 comme aide à la mise en œuvre.
• Intégration de mesures de sécurité au sein des développements spécifiques.
• Intégrer le cycle PDCA dans le cycle de vie du projet.
• Mettre en place un tableau de bord. Exemples.
• La gestion des vulnérabilités dans un SMSI : scans réguliers, Patch Management...
Audits de sécurité ISO 19011:2011 et bonnes pratiques juridiques
• Processus continu et complet. Etapes, priorités.
• Les catégories d’audits, organisationnel, technique...
• L’audit interne, externe, tierce partie, choisir son auditeur.
• Le déroulement type ISO de l’audit, les étapes clés.
• Les objectifs d’audit, la qualité d’un audit.
• L’audit organisationnel : démarche, méthodes.
• Apports comparés, les implications humaines.
• La propriété intellectuelle des logiciels, la responsabilité civile délictuelle et contractuelle.
• La responsabilité pénale, les responsabilités des dirigeants, la délégation de pouvoir, les sanctions. La loi LCEN.
• Conformité ISO et conformité juridique : le nouveau domaine 18 de la norme ISO 27002:2013.
La certification ISO de la sécurité du SI. La relation auditeur-audité
• Intérêt de cette démarche, la recherche du “label”.
• Les critères de choix du périmètre. Domaine d’application. Implication des parties prenantes.
• L’ISO : complément indispensable des cadres réglementaires et standard (SOX, ITIL®...).
• Organismes certificateurs, choix en France et en Europe.
• Norme ISO 27006, obligations pour les certificateurs.
Exercices Travaux pratiques
• Au cours de ce stage, une démarche pédagogique interactive vous sera proposée avec exercices de mises en situations.
• Tests de connaissances de type QCM et simulations d’interviews auditeur/audité.
Corrections collectives et révision finale
• Les résultats des exercices et travaux pratiques vous sont restitués sous forme de corrections collectives.
• Pendant cette restitution, les erreurs éventuelles sont analysées et commentées.
• Pour clore la préparation, une révision finale est fournie.
• Lors de cette révision, des trucs, astuces et pièges à éviter vous seront communiqués.
Examen et résultats
• L’examen écrit dure 3h30 et comporte six parties.
• Un QCM sur la norme ISO/IEC 19011 et guides associés sur 20 points.
• Un QCM sur la norme ISO/IEC 27001 et guides associés sur 20 points.
• Un exercice de recherche de référence normative en fonction de constats d’audit sur 5 points.
• Un exercice relatif au cycle PDCA sur 5 points.
• Un exercice “faits et inférences” basé sur un article de presse sur 10 points.
• Une étude de cas sur 35 points.
• A cela s’ajoute une évaluation, par le formateur, de l’attitude et de la démarche de l’auditeur sur 5 points.
• Les résultats de l’examen vous parviendront par courrier environ 4 à 6 semaines plus tard.

Fiche de la formation



 Cible :

RSSI, Risk Managers, directeurs ou responsables informatiques, MOE/ MOA, ingénieurs ou correspondants Sécurité, chefs de projets, auditeurs internes et externes, futurs “audités”.


 Prérequis :

Connaissances de base de la sécurité informatique.


 Durée : 5 jours

 Type : Stage pratique


 Contactez-nous