Formation Implémenter et gérer un projet ISO 27001

En suivant la formation Implémenter et gérer un projet ISO 27001, dispensée par notre cabinet de formation, vous découvrirez tous les détails qui vous seront utiles pour améliorer vos compétences pour Implémenter et gérer un projet ISO 27001.

Objectifs de la formation Implémenter et gérer un projet ISO 27001 :

Les objectifs de la formation sont  :

• Expliquer les composants d’un système de management de la sécurité de l’information (SMSI) conforme à ISO 27001
• Expliquer le contenu et la corrélation entre ISO 27001 et 27002 ainsi qu’avec d’autres normes et cadres réglementaires
• Adapter les exigences de la norme ISO 27001 au contexte spécifique d’un organisme
• Interpréter les exigences d’ISO 27001 dans le cadre de l’audit d’un SMSI
• Aligner les différentes approches de la gouvernance SSI (ISO, LPM, NIS, …)

Programme de la formation Implémenter et gérer un projet ISO 27001 :

Le Programme de la formation est détaillé ci-dessous :

Introduction

• Rappels. Terminologie ISO 27000 et ISO Guide 73.
• Définitions : menace, vulnérabilité, protection.
• La notion de risque (conséquence, impact, vraisemblance).
• La classification minimale CID (Confidentialité, Intégrité, Disponibilité).
• La gestion du risque (réduction, maintien, refus, partage).
• Analyse de la sinistralité. Tendances. Enjeux.
• Les réglementations métiers PCI-DSS, COBIT. Pour qui ? Pourquoi ? Interaction avec l’ISO.
• Vers la gouvernance IT, les liens avec ITIL® et l’ISO 20000.
• L’alignement ISO – NIS/LPM : vers une convergence ?

Les normes ISO 2700x

• Historique des normes de sécurité vues par l’ISO.
• Les standards BS 7799, leurs apports à l’ISO.
• Les normes fondatrices (ISO 27001, 27002).
• Les normes indispensables (ISO 27005, 27004, 27003, etc).
• La convergence avec les autres normes « Système de Management ».

La norme ISO 27001:2013

• Définition d’un Système de Gestion de la Sécurité des Systèmes (ISMS).
• Objectifs à atteindre par votre SMSI.
• L’approche “amélioration continue” comme principe fondateur, le modèle PDCA (roue de Deming).
• La norme ISO 27001 intégrée à une démarche globale de gouvernance de la SSI.
• Détails des phases Plan-Do-Check-Act.
• De la spécification du périmètre SMSI au SoA (Statement of Applicability).
• Les recommandations de l’ISO 27001 pour le management des risques.
• De l’importance de l’appréciation des risques. Choix d’une méthode type ISO 27005:2018.
• L’apport des méthodes publiées (exemple EBIOS RM) dans leur démarche d’appréciation.
• L’adoption de mesures de sécurité techniques et organisationnelles efficientes.
• Les audits internes obligatoires du SMSI. Construction d’un programme d’audit.
• L’amélioration SMSI. La mise en œuvre d’actions correctives et préventives.
• L’annexe A comme support référentiel – lien avec la norme 27002.

Les bonnes pratiques, référentiel ISO 27002:2013

• Objectifs de sécurité : Disponibilité, Intégrité et Confidentialité.
• Structuration en domaine/chapitres (niveau 1), objectifs de contrôles (niveau 2) et contrôles (niveau 3).
• Les nouvelles bonnes pratiques ISO 27002:2013, les mesures supprimées de la norme ISO 27001:2005. Les modifications.
• La norme ISO 27002:2013 : les 14 domaines et 114 bonnes pratiques.
• Exemples d’application du référentiel à son entreprise : les mesures de sécurité clés indispensables.
• Les mesures de la réduction des risques sur les actifs supports type personnes, bien, informatique.
• Les mesures indispensables au partage via le domaine 15.

La mise en œuvre de la sécurité dans un projet SMSI

• Des spécifications sécurité à la recette sécurité.
• Comment respecter la PSSI et les exigences de sécurité du client/MOA ?
• De l’analyse de risques à la construction de la déclaration d’applicabilité.
• Intégration de mesures de sécurité au sein des développements spécifiques.
• Les règles à respecter pour l’externalisation.
• Assurer un suivi du projet dans sa mise en œuvre puis sa mise en exploitation.
• Les rendez-vous “Sécurité” avant la recette.
• Intégrer le cycle PDCA dans le cycle de vie du projet.
• La recette du projet, comment la réaliser ? Test d’intrusion et/ou audit technique ?
• Préparer les indicateurs. L’amélioration continue.
• Mettre en place un tableau de bord. Exemples.
• L’apport de la norme 27004 :2016 dans la construction des métriques de conformité et efficacité.
• La gestion des vulnérabilités dans un SMSI : scans réguliers, Patch Management…

Les audits de sécurité ISO 19011:2018

• Processus continu et complet. Étapes, priorités.
• La construction du programme d’audits internes.
• Les catégories d’audits, organisationnels, techniques, etc.
• L’audit interne, externe, tierce partie.
• Le déroulement type ISO de l’audit, les étapes clés.
• Les objectifs d’audit, la qualité d’un audit.
• La démarche d’amélioration pour l’audit.
• Les qualités des auditeurs, leur évaluation.
• L’audit organisationnel : démarche, méthodes.

La certification ISO de la sécurité du SI

• Intérêt de cette démarche, la recherche du “label”.
• Les critères de choix du périmètre. Domaine d’application. Implication des parties intéressées.
• L’ISO : complément indispensable des cadres réglementaires et standards ?
• Les enjeux business et/ou réglementaires escomptés.
• Organismes certificateurs, choix en France et dans le monde.
• Démarche d’audit, étapes et charges de travail.
• Normes ISO 17021 et ISO 27006, obligations pour les certificateurs.
• Coûts de la certification, ROI.

Approche pédagogique :

Notre approche pédagogique pour cette Formation consiste en :

• Cas pratiques

• Remise d’outils

• Echanges d’expériences

Participants de la Formation :

Les personnes qui peuvent participer à cette formation pour Implémenter et gérer un projet ISO 27001 sont les :

• RSSI
• Risk Managers
• Directeurs ou responsables informatiques
• MOE/ MOA
• Ingénieurs ou correspondants Sécurité
• Chefs de projets
• Auditeurs internes et externes
• Futurs “audités”

N’hésitez pas à contacter le cabinet New Performance Management

pour lui confier votre

ingénierie de formation ou pour vos besoins en formation :

En présentiel- A distance- En Elearning

Merci.

New Performance Management est un cabinet de formation au Maroc avec un ADN Africain à travers plusieurs partenariats stratégiques avec d’Autres Cabinets de Formation en Afrique.

Présent sur le marché depuis 2011, notre équipe dynamique ne cesse de développer ses Process afin de répondre aux besoins évolutifs de sa clientèle en matière de formation Professionnelle.