> formation Technologies numériques > formation Cybersécurité > formation Synthèses et référentiels ISO, CISSP... > formation Implémenter et gérer un projet ISO 27001:2013, Lead Implementer certification

Toutes nos formations Synthèses et référentiels ISO, CISSP...

Formation Implémenter et gérer un projet ISO 27001:2013, Lead Implementer certification

4,6 / 5
Stage pratique
Durée : 5 jours
Réf : PIZ
Prix  2021 : 3990 € H.T.
Pauses et déjeuners offerts
Financements
CPF ActionsCo
  • Programme
  • Participants / Prérequis
  • Intra / sur-mesure
  • avis vérifiés
Programme

La norme internationale de maîtrise du risque ISO/CEI 27001 liée à la sécurité de l’information décrit, sous forme d’exigences, les bonnes pratiques à mettre en place pour qu’une organisation puisse maîtriser efficacement les risques liés à l’information. Ce séminaire vous présentera dans un premier temps l’ensemble des normes ISO traitant de la sécurité du système d’information puis vous apportera les éléments nécessaires pour mettre en place un système de management (SMSI) du risque de la sécurité de l’information.

Objectifs pédagogiques

  • Expliquer les composants d’un système de management de la sécurité de l’information (SMSI) conforme à ISO 27001
  • Adapter les exigences de la norme ISO 27001 au contexte spécifique d'un organisme
  • Préparer et passer l'examen "Lead Implementer 27001:2013"

CPF

Ce cours est éligible au CPF. Retrouvez le programme sur www.moncompteformation.gouv.fr.

Actions collectives

Ce cours fait partie des actions collectives Atlas.

Travaux pratiques

Préparation aux certificats ISO 27001 Lead Implementer et Lead Auditor.

Certification

L’examen final certifie que vous possédez les connaissances et les compétences nécessaires pour mettre en œuvre un SMSI suivant la norme ISO/IEC 27001:2013. L’examen a lieu la dernière demi-journée. Il est dirigé en partenariat avec l’organisme de certification LSTI (accrédité COFRAC).
PROGRAMME DE FORMATION

Introduction

  • Rappels. Terminologie ISO 27000 et ISO Guide 73.
  • Définitions : menace, vulnérabilité, protection.
  • La notion de risque (potentialité, impact, gravité).
  • La classification CAID (Confidentialité, Auditabilité, Intégrité, Disponibilité).
  • La gestion du risque (prévention, protection, report, externalisation).
  • Les réglementations SOX, PCI-DSS, COBIT. Pour qui ? Pourquoi ? Interaction avec l’ISO.
  • Vers la gouvernance IT, les liens avec ITIL® et l’ISO 20000.
  • L’alignement COBIT, ITIL® et ISO 27002.

Les normes ISO 2700x

  • Historique des normes de sécurité vues par l’ISO.
  • Les standards BS 7799, leurs apports à l’ISO.
  • Les normes actuelles (ISO 27001, 27002).
  • Les normes complémentaires (ISO 27005, 27004, 27003...).
  • La convergence avec les normes qualité 9001 et environnement 14001.
  • L’apport des qualiticiens dans la sécurité.

La norme ISO 27001:2013

  • Définition d’un Système de Gestion de la Sécurité des Systèmes (ISMS).
  • L’approche “amélioration continue” comme principe fondateur, le modèle PDCA (roue de Deming).
  • La norme ISO 27001 intégrée à une démarche qualité type SMQ.
  • Détails des phases Plan-Do-Check-Act.
  • De la spécification du périmètre SMSI au SoA (Statement of Applicability).
  • L’apport des méthodes EBIOS, MEHARI dans sa démarche d’appréciation.
  • Les audits internes obligatoires du SMSI.
  • L’amélioration SMSI. La mise en œuvre d’actions correctives et préventives.

Les bonnes pratiques, référentiel ISO 27002:2013

  • Objectifs de sécurité : Disponibilité, Intégrité et Confidentialité.
  • Structuration en domaine/chapitres (niveau 1), objectifs de contrôles (niveau 2) et contrôles (niveau 3).
  • Les nouvelles bonnes pratiques ISO 27002:2013, les mesures supprimées de la norme ISO 27001:2005. Les modifications.
  • La norme ISO 27002:2013 : les 14 domaines et 113 bonnes pratiques.
  • Exemples d’application du référentiel à son entreprise : les mesures de sécurité clés indispensables.

La mise en œuvre de la sécurité dans un projet SMSI

  • Des spécifications sécurité à la recette sécurité.
  • Les normes ISO 27003, 15408 comme aide à la mise en œuvre.
  • Intégrer le cycle PDCA dans le cycle de vie du projet.
  • La recette du projet, comment la réaliser : test d’intrusion et/ou audit technique ?
  • Préparer les indicateurs. L’amélioration continue.
  • Mettre en place un tableau de bord. Exemples.
  • L’apport de la norme 27004.
  • La gestion des vulnérabilités dans un SMSI : scans réguliers, Patch Management...

Les audits de sécurité ISO 19011:2011

  • Processus continu et complet. Etapes, priorités.
  • Les catégories d’audits, organisationnel, technique...
  • L’audit interne, externe, tierce partie, choisir son auditeur.
  • Le déroulement type ISO de l’audit, les étapes clés.
  • Les objectifs d’audit, la qualité d’un audit.
  • La démarche d’amélioration pour l’audit.
  • L’audit organisationnel : démarche, méthodes.

Les bonnes pratiques juridiques

  • La propriété intellectuelle des logiciels, la responsabilité civile délictuelle et contractuelle.
  • La responsabilité pénale, les responsabilités des dirigeants, la délégation de pouvoir, les sanctions. La loi LCEN.
  • Conformité ISO et conformité juridique : le nouveau domaine 18 de la norme ISO 27002:2013.

La certification ISO de la sécurité du SI, la relation auditeur-audité

  • Intérêt de cette démarche, la recherche du “label”.
  • Les critères de choix du périmètre. Domaine d’application. Implication des parties prenantes.
  • L’ISO : complément indispensable des cadres réglementaires et standard (SOX, ITIL®...).
  • Organismes certificateurs, choix en France et en Europe.
  • Norme ISO 27006, obligations pour les certificateurs.
  • Coûts récurrents et non récurrents de la certification.

Exercices travaux pratiques

  • Des projets types de sécurité vous seront proposés afin d’expérimenter par la pratique.
  • La mise en œuvre d’une démarche PDCA et de bonnes pratiques ISO 27001 et ISO 27002.
  • Vous construirez une déclaration d’applicabilité à partir d’une analyse de risques de type ISO 27001 ou 27005.
  • Vous apprendrez à déterminer les indicateurs clés d’une PSSI et d’un projet de sécurité.
  • Exercices écrits et oraux de mises en situations, tests de connaissance de type QCM.

Révision finale et examen

  • Pour clore la préparation, révision finale.
  • Trucs, astuces et pièges à éviter pour mieux vous préparer au passage de la certification.
  • L’examen écrit dure 3h30.
  • Le déroulement de l’examen écrit est présenté par le formateur lors de la première journée de formation.
  • Contenu de l’examen, règles à respecter. Normes ou autres documents mis à la disposition des candidats.
  • Modalités mises en œuvre pour respecter la confidentialité des copies.
  • Points minimaux requis pour l’obtention de l’examen écrit.
  • L’examen comporte un questionnaire à choix multiples relatif à la norme ISO/IEC 27001.
  • L’examen comporte également des exercices pratiques et une étude de cas.
  • Les résultats de l’examen vous parviendront par courrier 4 à 6 semaines plus tard.
Participants / Prérequis

» Participants

RSSI, Risk Managers, directeurs ou responsables informatiques, MOE/ MOA, ingénieurs ou correspondants Sécurité, chefs de projets, auditeurs internes et externes, futurs “audités”.

» Prérequis

Connaissances de base de la sécurité informatique.
Intra / sur-mesure

Demande de devis intra-entreprise
(réponse sous 48h)

Vos coordonnées

En cochant cette case, j’atteste avoir lu et accepté les conditions liées à l’usage de mes données dans le cadre de la réglementation sur la protection des données à caractère personnel (RGPD).
Vous pouvez à tout moment modifier l’usage de vos données et exercer vos droits en envoyant un email à l’adresse rgpd@orsys.fr
En cochant cette case, j’accepte de recevoir les communications à vocation commerciale et promotionnelle de la part d’ORSYS Formation*
Vous pouvez à tout moment vous désinscrire en utilisant le lien de désabonnement inclus dans nos communications.
* Les participants inscrits à nos sessions de formation sont également susceptibles de recevoir nos communications avec la possibilité de se désabonner à tout moment.
Avis vérifiés
picto avis vérifiés
Jaouad C. 07/12/2020
5 / 5
Très bonne formation tronc commun, manque un peu plus de pratiques et exemples.
Avis client 4,6 / 5

Les avis client sont issus des feuilles d’évaluation de fin de formation. La note est calculée à partir de l’ensemble des avis datant de moins de 12 mois.

Pour vous inscrire

Cliquez sur la ville, puis sur la date de votre choix.
[+]
CLASSE A DISTANCE
[+]
PARIS

Horaires

Les cours ont lieu de 9h à 12h30 et de 14h à 17h30.
Les participants sont accueillis à partir de 8h45.
Pour les stages pratiques de 4 ou 5 jours, les sessions se terminent à 15h30 le dernier jour.