> Formations > Technologies numériques > Cybersécurité > Synthèses et référentiels ISO, CISSP... > Formation Implémenter et gérer un projet ISO 27001:2013, Lead Auditor certification > Formations > Technologies numériques > Formation Implémenter et gérer un projet ISO 27001:2013, Lead Auditor certification
Formation référencée dans une action collective

Implémenter et gérer un projet ISO 27001:2013, Lead Auditor certification

Implémenter et gérer un projet ISO 27001:2013, Lead Auditor certification

Télécharger au format pdf Partager cette formation par e-mail 2

Télécharger au format pdf Partager cette formation par e-mail 2

La norme internationale de maîtrise du risque ISO/CEI 27001 lié à la sécurité de l’information décrit, sous forme d’exigences, les bonnes pratiques à mettre en place pour qu’une organisation puisse maîtriser efficacement les risques liés à l’information. Ce séminaire vous présentera dans un premier temps l’ensemble des normes ISO traitant de la sécurité du système d’information puis vous apportera les éléments nécessaires pour mettre en place un système de management (SMSI) du risque de la sécurité de l’information.


Inter
Intra
Sur mesure

Cours pratique en présentiel ou en classe à distance

Réf. PIS
Prix : Nous contacter
  5j - 35h
Pauses-café et
déjeuners offerts
Financements




La norme internationale de maîtrise du risque ISO/CEI 27001 lié à la sécurité de l’information décrit, sous forme d’exigences, les bonnes pratiques à mettre en place pour qu’une organisation puisse maîtriser efficacement les risques liés à l’information. Ce séminaire vous présentera dans un premier temps l’ensemble des normes ISO traitant de la sécurité du système d’information puis vous apportera les éléments nécessaires pour mettre en place un système de management (SMSI) du risque de la sécurité de l’information.

Objectifs pédagogiques
À l’issue de la formation, le participant sera en mesure de :
  • Expliquer les composants d’un système de management de la sécurité de l’information (SMSI) conforme à ISO 27001
  • Adapter les exigences de la norme ISO 27001 au contexte spécifique d'un organisme
  • Préparer et passer l'examen "Lead Auditor 27001:2013"

Public concerné
RSSI, Risk Managers, directeurs ou responsables informatiques, MOE/ MOA, ingénieurs ou correspondants Sécurité, chefs de projets, auditeurs internes et externes, futurs “audités”.

Prérequis
Connaissances de base de la sécurité informatique.
Vérifiez que vous avez les prérequis nécessaires pour profiter pleinement de cette formation en faisant  ce test.

Programme de la formation

Introduction

  • Rappels. Terminologie ISO 27000 et ISO Guide 73.
  • Définitions : menace, vulnérabilité, protection.
  • La notion de risque (potentialité, impact, gravité).
  • La classification CAID (Confidentialité, Auditabilité, Intégrité, Disponibilité).
  • La gestion du risque (prévention, protection, report, externalisation).
  • Analyse de la sinistralité. Tendances. Enjeux.
  • Les réglementations SOX, PCI-DSS, COBIT. Pour qui ? Pourquoi ? Interaction avec l’ISO.
  • Vers la gouvernance IT, les liens avec ITIL® et l’ISO 20000.
  • L’alignement COBIT, ITIL® et ISO 27002.

Les normes ISO 2700x

  • Historique des normes de sécurité vues par l’ISO.
  • Les standards BS 7799, leurs apports à l’ISO.
  • Les normes actuelles (ISO 27001, 27002).
  • Les normes complémentaires (ISO 27005, 27004, 27003...).
  • La convergence avec les normes qualité 9001 et environnement 14001.
  • L’apport des qualiticiens dans la sécurité.

La norme ISO 27001:2013

  • Définition d’un Système de Gestion de la Sécurité des Systèmes (ISMS).
  • Objectifs à atteindre par votre SMSI.
  • L’approche “amélioration continue” comme principe fondateur, le modèle PDCA (roue de Deming).
  • Détails des phases Plan-Do-Check-Act.
  • Les recommandations de l’ISO 27001 pour le management des risques.
  • De l’importance de l’appréciation des risques. Choix d’une méthode type ISO 27005:2011.
  • L’apport des méthodes EBIOS, MEHARI dans sa démarche d’appréciation.
  • Les audits internes obligatoires du SMSI. Construction d’un programme.
  • Les mesures et contre-mesures des actions correctives et préventives.
  • L’annexe A en lien avec la norme 27002.

Les bonnes pratiques, référentiel ISO 27002:2013

  • Objectifs de sécurité : Disponibilité, Intégrité et Confidentialité.
  • Les nouvelles bonnes pratiques ISO 27002:2013, les mesures supprimées de la norme ISO 27001:2005. Les modifications.
  • La norme ISO 27002:2013 : les 14 domaines et 113 bonnes pratiques.
  • Exemples d’application du référentiel à son entreprise : les mesures de sécurité clés indispensables.

La mise en œuvre de la sécurité dans un projet SMSI

  • Des spécifications sécurité à la recette sécurité.
  • Comment respecter la PSSI et les exigences de sécurité du client/MOA ?
  • Les normes ISO 27003, 15408 comme aide à la mise en œuvre.
  • Intégration de mesures de sécurité au sein des développements spécifiques.
  • Intégrer le cycle PDCA dans le cycle de vie du projet.
  • Mettre en place un tableau de bord. Exemples.
  • La gestion des vulnérabilités dans un SMSI : scans réguliers, Patch Management...

Audits de sécurité ISO 19011:2011 et bonnes pratiques juridiques

  • Processus continu et complet. Etapes, priorités.
  • Les catégories d’audits, organisationnel, technique...
  • L’audit interne, externe, tierce partie, choisir son auditeur.
  • Le déroulement type ISO de l’audit, les étapes clés.
  • Les objectifs d’audit, la qualité d’un audit.

Préparation et passage de l’examen

  • Les normes nécessaires : ISO 27000, ISO 27001, ISO 27002, ISO 27005, ISO 19011, ISO 17021, ISO 27006.
  • Le déroulement de l'examen en ligne sera présenté la première journée de formation : contenu et les règles à respecter.
  • Les pré requis techniques pour l’examen en ligne (webcam activée, connexion Internet).
  • Le privilège administrateur pour installer le logiciel anti-triche, etc).
  • Cet examen se déroule sur la plate forme d’examen en ligne TESTWE (testwe.eu).
  • Si cet examen est passé dans les locaux d’Orsys, Orsys prend en charge la préparation du poste de travail du candidat.
  • Le passage de l'examen chez Orsys s’accompagne du prêt au format papier des normes décrites durant la formation.
  • Pour passer cet examen en mode distanciel, le candidat doit acquérir lui-même l’ensemble de ces normes au format papier.
Examen
L'examen est composé d'un questionnaire à choix multiples/questions à trous. Il dure 2h30. Il est valorisé à 100 points. Si au moins 65% des réponses sont correctes l'examen est réussi.


Certification incluse
Pour passer cet examen en mode distanciel, le candidat doit acquérir lui-même l’ensemble des normes nécessaire au format papier. Passage de l'examen de certification en français en fin de session. Cet examen certifie que vous possédez les connaissances et les compétences nécessaires pour auditer la conformité d'un SMSI suivant la norme ISO/IEC 27001:2013. Cet examen est dirigé en partenariat avec l'organisme de certification LSTI (accrédité COFRAC).
Passage des certifications à distance
Consultez la documentation officielle du certificateur pour découvrir les prérequis relatifs au passage de l’examen de certification en ligne.

Modalités pratiques
Travaux pratiques
Préparation aux certificats ISO 27001 Lead Implementer et Lead Auditor.

Modalités d'évaluation
Le formateur évalue la progression pédagogique du participant tout au long de la formation au moyen de QCM, mises en situation, travaux pratiques…
Le participant complète également un test de positionnement en amont et en aval pour valider les compétences acquises.

Solutions de financement
Pour trouver la meilleure solution de financement adaptée à votre situation : contactez votre conseiller formation.
Il vous aidera à choisir parmi les solutions suivantes :
  • Le plan de développement des compétences de votre entreprise : rapprochez-vous de votre service RH.
  • Le dispositif FNE-Formation.
  • L’OPCO (opérateurs de compétences) de votre entreprise.
  • Pôle Emploi sous réserve de l’acceptation de votre dossier par votre conseiller Pôle Emploi.
  • Le plan de développement des compétences de votre entreprise : rapprochez-vous de votre service RH.
  • Le dispositif FNE-Formation.
  • L’OPCO (opérateurs de compétences) de votre entreprise.
  • Pôle Emploi sous réserve de l’acceptation de votre dossier par votre conseiller Pôle Emploi.

Financement par les actions collectives ou clé en main
Jusqu’à 100% de prise en charge des frais pédagogiques de la formation dans la cadre des actions collectives ou des tarifs négociés avec les actions « clé en main » mises en place par les OPCO. Cliquez sur l’OPCO pour découvrir les modalités financières associées

Horaires
En présentiel, les cours ont lieu de 9h à 12h30 et de 14h à 17h30.
Les participants sont accueillis à partir de 8h45. Les pauses et déjeuners sont offerts.
En classe à distance, la formation démarre à partir de 9h.
Pour les stages pratiques de 4 ou 5 jours, quelle que soit la modalité, les sessions se terminent à 15h30 le dernier jour.