Nos domaines de formation :

Formation Implémenter et gérer un projet ISO 27001:2013
préparation aux certifications

4,1 / 5
Séminaire
meilleur vente points PDU
Durée : 3 jours
Réf : ASE
Prix  2018 : 2610 € H.T.
Pauses et déjeuners offerts
  • Programme
  • Participants / Prérequis
  • Intra / sur-mesure
  • avis vérifiés
Programme

La norme internationale de maîtrise du risque ISO/CEI 27001 lié à la sécurité de l'information décrit, sous forme d'exigences, les bonnes pratiques à mettre en place pour qu'une organisation puisse maîtriser efficacement les risques liés à l'information. Ce séminaire vous présentera dans un premier temps l'ensemble des normes ISO traitant de la sécurité du Système d'Information puis vous apportera les éléments nécessaires pour mettre en place un système de management (SMSI) du risque de la sécurité de l'information.

Objectifs pédagogiques

  • Expliquer les composants d’un système de management de la sécurité de l’information (SMSI) conforme à ISO 27001
  • Expliquer le contenu et la corrélation entre ISO 27001 et 27002 ainsi qu’avec d’autres normes et cadres réglementaires
  • Adapter les exigences de la norme ISO 27001 au contexte spécifique d'un organisme
  • Interpréter les exigences d’ISO 27001 dans le cadre de l’audit d’un SMSI

Ce cours associé au cours LED ou LAU (journées de préparation et de passage d’examen) est éligible au CPF, avec le code formation 179662 pour la CPNE des télécommunications. Pour obtenir le code formation CPF d’une autre branche professionnelle, contactez-nous.

Travaux pratiques

Préparation aux certificats ISO 27001 Lead Implementer et Lead Auditor.
PROGRAMME DE FORMATION

Introduction

  • Rappels. Terminologie ISO 27000 et ISO Guide 73.
  • Définitions : menace, vulnérabilité, protection.
  • La notion de risque (potentialité, impact, gravité).
  • La classification CAID (Confidentialité, Auditabilité, Intégrité, Disponibilité).
  • La gestion du risque (prévention, protection, report, externalisation).
  • Analyse de la sinistralité. Tendances. Enjeux.
  • Les réglementations SOX, PCI-DSS, COBIT. Pour qui ? Pourquoi ? Interaction avec l'ISO.
  • Vers la gouvernance IT, les liens avec ITIL® et l'ISO 20000.
  • L'apport de l'ISO pour les cadres réglementaires.
  • L'alignement COBIT, ITIL® et ISO 27002.

Les normes ISO 2700x

  • Historique des normes de sécurité vues par l'ISO.
  • Les standards BS 7799, leurs apports à l'ISO.
  • Les normes actuelles (ISO 27001, 27002).
  • Les normes complémentaires (ISO 27005, 27004, 27003...).
  • La convergence avec les normes qualité 9001 et environnement 14001.
  • L'apport des qualiticiens dans la sécurité.

La norme ISO 27001:2013

  • Définition d'un Système de Gestion de la Sécurité des Systèmes (ISMS).
  • Objectifs à atteindre par votre SMSI.
  • L'approche "amélioration continue" comme principe fondateur, le modèle PDCA (roue de Deming).
  • La norme ISO 27001 intégrée à une démarche qualité type SMQ.
  • Détails des phases Plan-Do-Check-Act.
  • De la spécification du périmètre SMSI au SoA (Statement of Applicability).
  • Les recommandations de l'ISO 27001 pour le management des risques.
  • De l'importance de l'appréciation des risques. Choix d'une méthode type ISO 27005:2011.
  • L'apport des méthodes EBIOS, MEHARI dans sa démarche d'appréciation.
  • L'adoption de mesures de sécurité techniques et organisationnelles efficientes.
  • Les audits internes obligatoires du SMSI. Construction d'un programme.
  • L'amélioration SMSI. La mise en œuvre d'actions correctives et préventives.
  • Les mesures et contre-mesures des actions correctives et préventives.
  • L'annexe A en lien avec la norme 27002.

Les bonnes pratiques, référentiel ISO 27002:2013

  • Objectifs de sécurité : Disponibilité, Intégrité et Confidentialité.
  • Structuration en domaine/chapitres (niveau 1), objectifs de contrôles (niveau 2) et contrôles (niveau 3).
  • Les nouvelles bonnes pratiques ISO 27002:2013, les mesures supprimées de la norme ISO 27001:2005. Les modifications.
  • La norme ISO 27002:2013 : les 14 domaines et 113 bonnes pratiques.
  • Exemples d'application du référentiel à son entreprise : les mesures de sécurité clés indispensables.

La mise en œuvre de la sécurité dans un projet SMSI

  • Des spécifications sécurité à la recette sécurité.
  • Comment respecter la PSSI et les exigences de sécurité du client/MOA ?
  • De l'analyse de risques à la construction de la déclaration d'applicabilité.
  • Les normes ISO 27003, 15408 comme aide à la mise en œuvre.
  • Intégration de mesures de sécurité au sein des développements spécifiques.
  • Les règles à respecter pour l'externalisation.
  • Assurer un suivi du projet dans sa mise en œuvre puis sa mise en exploitation.
  • Les rendez-vous "Sécurité" avant la recette.
  • Intégrer le cycle PDCA dans le cycle de vie du projet.
  • La recette du projet, comment la réaliser ? Test d'intrusion et/ou audit technique ?
  • Préparer les indicateurs. L'amélioration continue.
  • Mettre en place un tableau de bord. Exemples.
  • L'apport de la norme 27004.
  • La gestion des vulnérabilités dans un SMSI : scans réguliers, Patch Management...

Les audits de sécurité ISO 19011:2011

  • Processus continu et complet. Etapes, priorités.
  • Les catégories d'audits, organisationnel, technique...
  • L'audit interne, externe, tierce partie, choisir son auditeur.
  • Le déroulement type ISO de l'audit, les étapes clés.
  • Les objectifs d'audit, la qualité d'un audit.
  • La démarche d'amélioration pour l'audit.
  • Les qualités des auditeurs, leur évaluation.
  • L'audit organisationnel : démarche, méthodes.
  • Apports comparés, les implications humaines.

Les bonnes pratiques juridiques

  • La propriété intellectuelle des logiciels, la responsabilité civile délictuelle et contractuelle.
  • La responsabilité pénale, les responsabilités des dirigeants, la délégation de pouvoir, les sanctions. La loi LCEN.
  • Conformité ISO et conformité juridique : le nouveau domaine 18 de la norme ISO 27002:2013.

La certification ISO de la sécurité du SI - La relation auditeur-audité

  • Intérêt de cette démarche, la recherche du "label".
  • Les critères de choix du périmètre. Domaine d'application. Implication des parties prenantes.
  • L'ISO : complément indispensable des cadres réglementaires et standard (SOX, ITIL®...).
  • Les enjeux économiques escomptés.
  • Organismes certificateurs, choix en France et en Europe.
  • Démarche d'audit, étapes et charges de travail.
  • Norme ISO 27006, obligations pour les certificateurs.
  • Coûts récurrents et non récurrents de la certification.
Participants / Prérequis

» Participants

RSSI, Risk Managers, directeurs ou responsables informatiques, MOE/ MOA, ingénieurs ou correspondants Sécurité, chefs de projets, auditeurs internes et externes, futurs "audités".

» Prérequis

Connaissances de base de la sécurité informatique.
Intra / sur-mesure
Programme standard     Programme sur-mesure
Oui / Non

Vos coordonnées

Avis vérifiés
picto avis vérifiés
Marc E. 28/05/2018
4 / 5
quelques interventions hors sujets ont pollué le contenu d'un participant

Soraya Y. 28/05/2018
4 / 5
formateurs compétents textes (slides) imprimés trop petits hétérogénéité des profils formés : positif: échanges sur les différents métiers négatif : perte de temps sur les discussion/remarques non pertinentes ( contestation du contenu des normes)

Stéphane D. 28/05/2018
5 / 5
très complet

Nabil E. 28/05/2018
5 / 5
EXCELLENTE PRESTATION

Yann B. 28/05/2018
5 / 5
rythmé, complet, intelligible

Maxime G. 28/05/2018
5 / 5
contenu clair bien expliqué et animé autour de débats et exemples concrets

Philippe F. 28/05/2018
5 / 5
Contenu très riche et correspondant aux attentes pour la préparation à l acertification

Laurent L. 26/03/2018
4 / 5
Bon contenu, un peu trop de switch entre norme et slides qui de temps en temps nous fait perdre un peu le fil.

Bertrand H. 26/03/2018
4 / 5
Le rythme est un peu trop rapide

Jean B. 26/03/2018
4 / 5
Manque de temps pour exo

David P. 26/03/2018
5 / 5
+ Rappels aux texte : 27001 - 2005 - illustrations avec les quadrants GARTUER

Bernadette L. 26/03/2018
5 / 5
Jour 2 sur norme 27002 / trop technique et technologique

Valentin B. 26/03/2018
5 / 5
Bonne formation et contenu intéressant et utile

Patricia G. 26/03/2018
5 / 5
Contenu très exhaussif

Xavier R. 26/03/2018
5 / 5
TRES BON -

Virginie B. 26/03/2018
5 / 5
Le sujet n'est pas simple à appréhender, mais ces 3 jours sont passés très vite, car la formation est très intéressante

Sylvain T. 26/03/2018
5 / 5
Quelques notions de planification du projet (durée, etc) de certification serait un plus... Mais formation déjà très intéressante

Yoann M. 17/01/2018
5 / 5
Bonne animation de la formation

Jérémy F. 17/01/2018
5 / 5
Très pédagogue, avec beaucoup de références. Rythme agréable.

Stéphane R. 21/12/2017
4 / 5
Bonne dynamique, illustration par exemple et parallèle avec la norme.

Kahina H. 11/12/2017
4 / 5
je pense que la formation pourrait tenir en 2 jours et réserver une journée à des exercices pratiques, notamment pour mieux préparer ensuite les certifications lead implementor ou lead auditor

Frédéric G. 11/12/2017
4 / 5
Bonne introduction à ISO27001 - gagnerai à être agrémenté par des exercices et cas pratiques pour améliorer l'assimilation et dynamiser le déroulé de la formation. Pas d'exercices - donc critère non noté

Philippe C. 11/12/2017
5 / 5
formateur compétent.

Didier L. 11/12/2017
5 / 5
L'ensemble correspond à ce que je m'attendais sur l'objectif pédagogique de cette session.

François L. 06/11/2017
4 / 5
Couleurs appréciée dans la documentation. Références à vérifier dans certains slides.

Gilles Z. 06/11/2017
4 / 5
Pourquoi les animateurs différents entre les 3 jours, J1-J3 vs J2? J1 et J3 meilleurs que J2 ou j'aurais aimé un balayage des 1/4 mésures.

Pierre D. 06/11/2017
4 / 5
Trop de temps sur l'ISO 27002, ce n'est pas une formation sécurité. Quelques bugs sur les supports ISO 27001 2009vs 2013

Florence V. 06/11/2017
4 / 5
Rythme très rapide. Quelques incohérences pendant le jour 2.

Huy V. 06/11/2017
4 / 5
Ok pour la partie 27001 (Très satisfait). 27002 moins (peu satisfait)

PERETTI D. 06/11/2017
4 / 5
Echange agréable avec les animateurs de la formation, réponses pertinentes et claires aux questions posées. Beaucoup de temps passé sur les notions de base (PDCA par exemple) mais pas assez sur les sujets tels que la conduite de l'audite.

Marko C. 06/11/2017
4 / 5
Des erreurs sur les supports, fort manque de concret (exemples).

Bernard F. 06/11/2017
4 / 5
Cours très vivants, participants et questions bienvenues. Mais le support de cours est difficile à consulter. (Trouvez les chapitres et les pages est difficile).

Christine L. 06/11/2017
5 / 5
Très bien, quelques erreurs sur les docs. Manque quelques études de cas (pour ceux qui ne poursuivent pas jusqu'à l'examen).
Avis client 4,1 / 5

Les avis client sont issus des feuilles d’évaluation de fin de formation. La note est calculée à partir de l’ensemble des avis datant de moins de 12 mois.

Dates de sessions

Pour vous inscrire, cliquez sur la session qui vous intéresse.
[+]
PARIS
[+]
BRUXELLES
[+]
GENEVE
[+]
LUXEMBOURG

Horaires

Les cours ont lieu de 9h à 12h30 et de 14h à 17h30.
Les participants sont accueillis à partir de 8h45.
Pour les stages pratiques de 4 ou 5 jours, les sessions se terminent à 15h30 le dernier jour.