LEARNING
FOR SUCCESS*


> formation Technologies numériques > formation Cybersécurité > formation Synthèses et référentiels ISO, CISSP... > formation Implémenter et gérer un projet ISO 27001:2013
Toutes nos formations Synthèses et référentiels ISO, CISSP...

Formation Implémenter et gérer un projet ISO 27001:2013
préparation aux certifications

4,3 / 5
Séminaire
Best
Durée : 3 jours
Réf : ASE
Prix  2020 : 2690 € H.T.
Pauses et déjeuners offerts
  • Programme
  • Participants / Prérequis
  • Intra / sur-mesure
  • avis vérifiés
Programme

La norme internationale de maîtrise du risque ISO/CEI 27001 lié à la sécurité de l'information décrit, les bonnes pratiques à mettre en place pour qu'une organisation puisse maîtriser efficacement les risques liés à l'information. Ce cours présente les normes ISO de la sécurité du Système d'Information puis les éléments pour mettre en place un système de management (SMSI) du risque de la sécurité de l'information.

Objectifs pédagogiques

  • Expliquer les composants d’un système de management de la sécurité de l’information (SMSI) conforme à ISO 27001
  • Expliquer le contenu et la corrélation entre ISO 27001 et 27002 ainsi qu’avec d’autres normes et cadres réglementaires
  • Adapter les exigences de la norme ISO 27001 au contexte spécifique d'un organisme
  • Interpréter les exigences d’ISO 27001 dans le cadre de l’audit d’un SMSI
  • Aligner les différentes approches de la gouvernance SSI (ISO, LPM, NIS, …)

Travaux pratiques

Préparation aux certificats ISO 27001 Lead Implementer et Lead Auditor.
PROGRAMME DE FORMATION

Introduction

  • Rappels. Terminologie ISO 27000 et ISO Guide 73.
  • Définitions : menace, vulnérabilité, protection.
  • La notion de risque (conséquence, impact, vraisemblance).
  • La classification minimale CID (Confidentialité, Intégrité, Disponibilité).
  • La gestion du risque (réduction, maintien, refus, partage).
  • Analyse de la sinistralité. Tendances. Enjeux.
  • Les réglementations métiers PCI-DSS, COBIT. Pour qui ? Pourquoi ? Interaction avec l’ISO.
  • Vers la gouvernance IT, les liens avec ITIL® et l’ISO 20000.
  • L’alignement ISO – NIS/LPM : vers une convergence ?

Les normes ISO 2700x

  • Historique des normes de sécurité vues par l'ISO.
  • Les standards BS 7799, leurs apports à l'ISO.
  • Les normes fondatrices (ISO 27001, 27002).
  • Les normes indispensables (ISO 27005, 27004, 27003, etc).
  • La convergence avec les autres normes « Système de Management ».

La norme ISO 27001:2013

  • Définition d'un Système de Gestion de la Sécurité des Systèmes (ISMS).
  • Objectifs à atteindre par votre SMSI.
  • L'approche "amélioration continue" comme principe fondateur, le modèle PDCA (roue de Deming).
  • La norme ISO 27001 intégrée à une démarche globale de gouvernance de la SSI.
  • Détails des phases Plan-Do-Check-Act.
  • De la spécification du périmètre SMSI au SoA (Statement of Applicability).
  • Les recommandations de l'ISO 27001 pour le management des risques.
  • De l'importance de l'appréciation des risques. Choix d'une méthode type ISO 27005:2018.
  • L’apport des méthodes publiées (exemple EBIOS RM) dans leur démarche d’appréciation.
  • L’adoption de mesures de sécurité techniques et organisationnelles efficientes.
  • Les audits internes obligatoires du SMSI. Construction d’un programme d’audit.
  • L’amélioration SMSI. La mise en œuvre d’actions correctives et préventives.
  • L’annexe A comme support référentiel - lien avec la norme 27002.

Les bonnes pratiques, référentiel ISO 27002:2013

  • Objectifs de sécurité : Disponibilité, Intégrité et Confidentialité.
  • Structuration en domaine/chapitres (niveau 1), objectifs de contrôles (niveau 2) et contrôles (niveau 3).
  • Les nouvelles bonnes pratiques ISO 27002:2013, les mesures supprimées de la norme ISO 27001:2005. Les modifications.
  • La norme ISO 27002:2013 : les 14 domaines et 114 bonnes pratiques.
  • Exemples d'application du référentiel à son entreprise : les mesures de sécurité clés indispensables.
  • Les mesures de la réduction des risques sur les actifs supports type personnes, bien, informatique.
  • Les mesures indispensables au partage via le domaine 15.

La mise en œuvre de la sécurité dans un projet SMSI

  • Des spécifications sécurité à la recette sécurité.
  • Comment respecter la PSSI et les exigences de sécurité du client/MOA ?
  • De l'analyse de risques à la construction de la déclaration d'applicabilité.
  • Intégration de mesures de sécurité au sein des développements spécifiques.
  • Les règles à respecter pour l'externalisation.
  • Assurer un suivi du projet dans sa mise en œuvre puis sa mise en exploitation.
  • Les rendez-vous "Sécurité" avant la recette.
  • Intégrer le cycle PDCA dans le cycle de vie du projet.
  • La recette du projet, comment la réaliser ? Test d'intrusion et/ou audit technique ?
  • Préparer les indicateurs. L'amélioration continue.
  • Mettre en place un tableau de bord. Exemples.
  • L’apport de la norme 27004 :2016 dans la construction des métriques de conformité et efficacité.
  • La gestion des vulnérabilités dans un SMSI : scans réguliers, Patch Management...

Les audits de sécurité ISO 19011:2018

  • Processus continu et complet. Étapes, priorités.
  • La construction du programme d’audits internes.
  • Les catégories d'audits, organisationnels, techniques, etc.
  • L'audit interne, externe, tierce partie.
  • Le déroulement type ISO de l'audit, les étapes clés.
  • Les objectifs d'audit, la qualité d'un audit.
  • La démarche d'amélioration pour l'audit.
  • Les qualités des auditeurs, leur évaluation.
  • L'audit organisationnel : démarche, méthodes.

La certification ISO de la sécurité du SI

  • Intérêt de cette démarche, la recherche du "label".
  • Les critères de choix du périmètre. Domaine d’application. Implication des parties intéressées.
  • L’ISO : complément indispensable des cadres réglementaires et standards ?
  • Les enjeux business et/ou réglementaires escomptés.
  • Organismes certificateurs, choix en France et dans le monde.
  • Démarche d'audit, étapes et charges de travail.
  • Normes ISO 17021 et ISO 27006, obligations pour les certificateurs.
  • Coûts de la certification, ROI.
Participants / Prérequis

» Participants

RSSI, Risk Managers, directeurs ou responsables informatiques, MOE/ MOA, ingénieurs ou correspondants Sécurité, chefs de projets, auditeurs internes et externes, futurs "audités".

» Prérequis

Connaissances de base de la sécurité informatique.
Intra / sur-mesure

Demande de devis intra-entreprise
(réponse sous 48h)

Vos coordonnées

En cochant cette case, j’atteste avoir lu et accepté les conditions liées à l’usage de mes données dans le cadre de la réglementation sur la protection des données à caractère personnel (RGPD).
Vous pouvez à tout moment modifier l’usage de vos données et exercer vos droits en envoyant un email à l’adresse rgpd@orsys.fr
En cochant cette case, j’accepte de recevoir les communications à vocation commerciale et promotionnelle de la part d’ORSYS Formation*
Vous pouvez à tout moment vous désinscrire en utilisant le lien de désabonnement inclus dans nos communications.
* Les participants inscrits à nos sessions de formation sont également susceptibles de recevoir nos communications avec la possibilité de se désabonner à tout moment.
Avis vérifiés
picto avis vérifiés
Ranveig W. 16/11/2020
4 / 5
J'ai apprécié les exemples venant de la vraie vie. Manque un peu de vue d'ensemble, style agenda sur chaque partie.

BOLLIET V. 16/11/2020
4 / 5
Je n'avais pas reçu toutes toutes les normes - Pas de version papier : dommage pour les visuels et ceux qui ont besoin de noter pour mieux retenir.

Victor J. 12/10/2020
2 / 5
Formateurs peu pédagogues, support de cours inadapté et trop éloigné de la norme.

Moussa S. 12/10/2020
4 / 5
Avec de bons retours d'expériences

Thiéry S. 12/10/2020
4 / 5
Bonne disponibilité pour les questions. Bons exemples à l'appui

Laurent C. 12/10/2020
4 / 5
il manque un peu de cas pratiques et d'une vision temporel synthétique des évènements

Frédérique G. 12/10/2020
4 / 5
Amelioration du support sur la partie 27002 (2ieme jour)

Maillard L. 12/10/2020
5 / 5
Le support est imprimé en noir et blanc, alors que la présentation est en couleur et que ces couleurs sont importantes pour aider à la compréhension.

RANCHON B. 12/10/2020
4 / 5
Formation dense. Celle-ci aurait été encore plus bénéfique si j'avais travaillé sur une implémentation iso27001 auparavant. Vu mon inexpérience sur le sur le sujet, des études de cas auraient été bénéfiques avec 1 ou 2 jours supplémentaires

VINCENZO T. 12/10/2020
4 / 5
Cohérent avec l'attendu. Un nombre plus important de cas pratiques/mises en situation aurait été souhaitable. Il serait également utile de pouvoir disposer de modèles de document en format électronique (ex: matrice annexe-A 27001,

Pittner L. 12/10/2020
5 / 5
Très bien, RAS

Pierre B. 28/09/2020
5 / 5
Très bon contenu même si la partie certification a été traitée en 1er et aurait dû être traitée en fin

Olivier C. 28/09/2020
5 / 5
Jours 2 et 3 très denses, vision globale /synthétique peu évidente

Anne L. 21/09/2020
4 / 5
Intervenants intéresssants et compétents. Manque peut-être quelques applications concrètes, des exemples.

Gilles P. 21/09/2020
4 / 5
Il est dommage que le dernier jour n'ait pas été consacré entièrement à une revue des questions pour préparer l'examen.

Rédouane L. 21/09/2020
4 / 5
Contenu intéressant mais ca manque d'exercice préparatoire à l'examen à l'issue de chaque norme.

Mathieu D. 07/09/2020
5 / 5
Les formateurs sont pertinents et répondent avec soin aux questions

Serge A. 07/09/2020
5 / 5
très bien fait et présenté

Audrey K. 07/09/2020
5 / 5
Très bien, un peu difficile de suivre le rythme. Par demi journée serait plus approprié

David C. 24/08/2020
5 / 5
sujet norme difficile mais rendu vivant grace à l'animateur
Avis client 4,3 / 5

Les avis client sont issus des feuilles d’évaluation de fin de formation. La note est calculée à partir de l’ensemble des avis datant de moins de 12 mois.

CLASSE A DISTANCE

En inter et en intra-entreprise
Inscrivez-vous ou contactez-nous !

Pour vous inscrire

Cliquez sur la ville, puis sur la date de votre choix.
[+]
CLASSE A DISTANCE
[+]
PARIS

Horaires

Les cours ont lieu de 9h à 12h30 et de 14h à 17h30.
Les participants sont accueillis à partir de 8h45.
Pour les stages pratiques de 4 ou 5 jours, les sessions se terminent à 15h30 le dernier jour.
Thème associé