menu logo orsys formation
NOUS CONTACTER - +33 (0)1 49 07 73 73
NOUS CONTACTER - 📞 +33 (0)1 49 07 73 73    espace pro ESPACE PRO     inscription formation orsys S'INSCRIRE     drapeau francais   drapeau anglais
Nos domaines de formation :
Toutes nos formations Synthèses et référentiels ISO, CISSP...

Formation Implémenter et gérer un projet ISO 27001:2013, Lead Auditor certification

Stage pratique
Durée : 5 jours
Réf : PIS
Prix  2019 : 4080 € H.T.
Pauses et déjeuners offerts
Financements
CPF
  • Programme
  • Participants / Prérequis
  • Intra / sur-mesure
Programme

La norme internationale de maîtrise du risque ISO/CEI 27001 lié à la sécurité de l’information décrit, sous forme d’exigences, les bonnes pratiques à mettre en place pour qu’une organisation puisse maîtriser efficacement les risques liés à l’information. Ce séminaire vous présentera dans un premier temps l’ensemble des normes ISO traitant de la sécurité du système d’information puis vous apportera les éléments nécessaires pour mettre en place un système de management (SMSI) du risque de la sécurité de l’information.

Objectifs pédagogiques

  • Expliquer les composants d’un système de management de la sécurité de l’information (SMSI) conforme à ISO 27001
  • Adapter les exigences de la norme ISO 27001 au contexte spécifique d'un organisme
  • Préparer et passer l'examen "Lead Auditor 27001:2013"

CPF

Ce cours est éligible au CPF avec le code formation 237228

Travaux pratiques

Préparation aux certificats ISO 27001 Lead Implementer et Lead Auditor.

Certification

L’examen final a lieu la dernière demi-journée et certifie que vous possédez les connaissances et les compétences nécessaires pour auditer la conformité d’un SMSI suivant la norme ISO/IEC 27001:2013. Cet examen est dirigé en partenariat avec l’organisme de certification LSTI (accrédité COFRAC).
PROGRAMME DE FORMATION

Introduction

  • Rappels. Terminologie ISO 27000 et ISO Guide 73.
  • Définitions : menace, vulnérabilité, protection.
  • La notion de risque (potentialité, impact, gravité).
  • La classification CAID (Confidentialité, Auditabilité, Intégrité, Disponibilité).
  • La gestion du risque (prévention, protection, report, externalisation).
  • Analyse de la sinistralité. Tendances. Enjeux.
  • Les réglementations SOX, PCI-DSS, COBIT. Pour qui ? Pourquoi ? Interaction avec l’ISO.
  • Vers la gouvernance IT, les liens avec ITIL® et l’ISO 20000.
  • L’alignement COBIT, ITIL® et ISO 27002.

Les normes ISO 2700x

  • Historique des normes de sécurité vues par l’ISO.
  • Les standards BS 7799, leurs apports à l’ISO.
  • Les normes actuelles (ISO 27001, 27002).
  • Les normes complémentaires (ISO 27005, 27004, 27003...).
  • La convergence avec les normes qualité 9001 et environnement 14001.
  • L’apport des qualiticiens dans la sécurité.

La norme ISO 27001:2013

  • Définition d’un Système de Gestion de la Sécurité des Systèmes (ISMS).
  • Objectifs à atteindre par votre SMSI.
  • L’approche “amélioration continue” comme principe fondateur, le modèle PDCA (roue de Deming).
  • Détails des phases Plan-Do-Check-Act.
  • Les recommandations de l’ISO 27001 pour le management des risques.
  • De l’importance de l’appréciation des risques. Choix d’une méthode type ISO 27005:2011.
  • L’apport des méthodes EBIOS, MEHARI dans sa démarche d’appréciation.
  • Les audits internes obligatoires du SMSI. Construction d’un programme.
  • Les mesures et contre-mesures des actions correctives et préventives.
  • L’annexe A en lien avec la norme 27002.

Les bonnes pratiques, référentiel ISO 27002:2013

  • Objectifs de sécurité : Disponibilité, Intégrité et Confidentialité.
  • Les nouvelles bonnes pratiques ISO 27002:2013, les mesures supprimées de la norme ISO 27001:2005. Les modifications.
  • La norme ISO 27002:2013 : les 14 domaines et 113 bonnes pratiques.
  • Exemples d’application du référentiel à son entreprise : les mesures de sécurité clés indispensables.

La mise en œuvre de la sécurité dans un projet SMSI

  • Des spécifications sécurité à la recette sécurité.
  • Comment respecter la PSSI et les exigences de sécurité du client/MOA ?
  • Les normes ISO 27003, 15408 comme aide à la mise en œuvre.
  • Intégration de mesures de sécurité au sein des développements spécifiques.
  • Intégrer le cycle PDCA dans le cycle de vie du projet.
  • Mettre en place un tableau de bord. Exemples.
  • La gestion des vulnérabilités dans un SMSI : scans réguliers, Patch Management...

Audits de sécurité ISO 19011:2011 et bonnes pratiques juridiques

  • Processus continu et complet. Etapes, priorités.
  • Les catégories d’audits, organisationnel, technique...
  • L’audit interne, externe, tierce partie, choisir son auditeur.
  • Le déroulement type ISO de l’audit, les étapes clés.
  • Les objectifs d’audit, la qualité d’un audit.
  • L’audit organisationnel : démarche, méthodes.
  • Apports comparés, les implications humaines.
  • La propriété intellectuelle des logiciels, la responsabilité civile délictuelle et contractuelle.
  • La responsabilité pénale, les responsabilités des dirigeants, la délégation de pouvoir, les sanctions. La loi LCEN.
  • Conformité ISO et conformité juridique : le nouveau domaine 18 de la norme ISO 27002:2013.

La certification ISO de la sécurité du SI. La relation auditeur-audité

  • Intérêt de cette démarche, la recherche du “label”.
  • Les critères de choix du périmètre. Domaine d’application. Implication des parties prenantes.
  • L’ISO : complément indispensable des cadres réglementaires et standard (SOX, ITIL®...).
  • Organismes certificateurs, choix en France et en Europe.
  • Norme ISO 27006, obligations pour les certificateurs.

Exercices Travaux pratiques

  • Au cours de ce stage, une démarche pédagogique interactive vous sera proposée avec exercices de mises en situations.
  • Tests de connaissances de type QCM et simulations d’interviews auditeur/audité.

Corrections collectives et révision finale

  • Les résultats des exercices et travaux pratiques vous sont restitués sous forme de corrections collectives.
  • Pendant cette restitution, les erreurs éventuelles sont analysées et commentées.
  • Pour clore la préparation, une révision finale est fournie.
  • Lors de cette révision, des trucs, astuces et pièges à éviter vous seront communiqués.

Examen et résultats

  • L’examen écrit dure 3h30 et comporte six parties.
  • Un QCM sur la norme ISO/IEC 19011 et guides associés sur 20 points.
  • Un QCM sur la norme ISO/IEC 27001 et guides associés sur 20 points.
  • Un exercice de recherche de référence normative en fonction de constats d’audit sur 5 points.
  • Un exercice relatif au cycle PDCA sur 5 points.
  • Un exercice “faits et inférences” basé sur un article de presse sur 10 points.
  • Une étude de cas sur 35 points.
  • A cela s’ajoute une évaluation, par le formateur, de l’attitude et de la démarche de l’auditeur sur 5 points.
  • Les résultats de l’examen vous parviendront par courrier environ 4 à 6 semaines plus tard.
Participants / Prérequis

» Participants

RSSI, Risk Managers, directeurs ou responsables informatiques, MOE/ MOA, ingénieurs ou correspondants Sécurité, chefs de projets, auditeurs internes et externes, futurs “audités”.

» Prérequis

Connaissances de base de la sécurité informatique.
Intra / sur-mesure

Demande de devis intra-entreprise
(réponse sous 48h)

Vos coordonnées

En cochant cette case, j’atteste avoir lu et accepté les conditions liées à l’usage de mes données dans le cadre de la réglementation sur la protection des données à caractère personnel (RGPD).
Vous pouvez à tout moment modifier l’usage de vos données et exercer vos droits en envoyant un email à l’adresse rgpd@orsys.fr
En cochant cette case, j’accepte de recevoir les communications à vocation commerciale et promotionnelle de la part d’ORSYS Formation*
Vous pouvez à tout moment vous désinscrire en utilisant le lien de désabonnement inclus dans nos communications.
* Les participants inscrits à nos sessions de formation sont également susceptibles de recevoir nos communications avec la possibilité de se désabonner à tout moment.

Pour vous inscrire

Cliquez sur la ville, puis sur la date de votre choix.
[+]
PARIS
[+]
LYON
[+]
NANTES

Horaires

Les cours ont lieu de 9h à 12h30 et de 14h à 17h30.
Les participants sont accueillis à partir de 8h45.
Pour les stages pratiques de 4 ou 5 jours, les sessions se terminent à 15h30 le dernier jour.
linkedin orsys
twitter orsys
it! orsys
instagram orsys
pinterest orsys
facebook orsys
youtube orsys