Implémenter et gérer un projet ISO 27001, 27002
Réf: ASE
Durée: 3 jours
Objectifs de la formation
Ce séminaire a pour objectif de présenter l »ensemble des normes ISO traitant de la sécurité du système d »information et de son management. Il développe les thèmes techniques, organisationnels et juridiques liés à l »application d »un référentiel de sécurité normé et à sa mise en oeuvre.
– Introduction
– Les normes ISO 2700x
– La norme ISO 27001
– l »analyse de risque 27005
– Le référentiel de bonnes pratiques ISO 27002
– La mise en oeuvre de la sécurité dans un projet (27003, 27004)
– Les audits de sécurité ISO 19011
– Les bonnes pratiques juridiques applicables à la sécurité
– La certification ISO de la sécurité du SI. La relation auditeur-audité
– Lead Auditor 27001, mise en pratique
– Lead Implementer 27001, mise en pratique
Formation securite, Formation iso 27001, Formation iso 27002, Formation gestion de projets
Programme de Formation
Introduction
– Rappels Terminologie ISO 27000 et ISO Guide 73
– Définitions de la menace, vulnérabilité, mesures de protection
– La notion de risque (potentialité, impact, gravité)
– La classification CAID (Confidentialité, Auditabilité, Intégrité, Disponibilité)
– La gestion du risque (prévention, protection, report de risque, externalisation)
– Analyse de la sinistralité, Evolutions et tendances observées, nouveaux enjeux
– Les réglementations SOX, COSO, COBIT, Pour qui ? pourquoi ?
– Vers la gouvernance informatique, les liens avec ITIL et CMMI
– L »apport de l »ISO pour les cadres réglementaires
– L »alignement des référentiels COBIT, ITIL et ISO 27002
Les normes ISO 2700x
– Rappel historique sur les normes de sécurité vues par l »ISO
– Les standards BS 7799, leurs apports à l »ISO
– Les normes actuelles (ISO 27001, 27002)
– Les normes à venir (27004, 27003)
– Comment anticiper et se préparer efficacement dans l »attente de ces normes ?
– La convergence avec les normes qualité 9001 et environnement 14001
– L »apport des qualiticiens dans une démarche sécurité
La norme ISO 27001 – l »analyse de risque 27005
– Définition d »un Système de Gestion de la Sécurité des Systèmes (ISMS)
– Objectifs à atteindre par votre ISMS
– L »approche « amélioration continue » comme principe fondateur
– La norme ISO 27001 dans une démarche qualité, le modèle PDCA (roue de Deming)
– Les phases Plan-Do-Check-Act dans le détail (sections 4 à 8)
– De la spécification du périmètre ISMS au SoA (Statement of applicability
– De l »importance de l »analyse de risques, choix d »une méthode
– Les recommandations pragmatiques de l »ISO 27001 pour l »analyse des risques
– L »apport des méthodes EBIOS/FEROS, MEHARI dans sa démarche de certification
– Comment choisir une méthode ? Etre ou ne pas être « ISO spirit » ?
– L »adoption des mesures de sécurité techniques et organisationnelles efficientes
– Les audits internes obligatoires du SMSI, démarche
– L »amélioration SMSI : la mise oeuvre d »actions correctives et préventives
– Les mesures et contre-mesures des actions correctives et préventives
– L »annexe A en lien avec la norme 27002
Le référentiel de bonnes pratiques ISO 27002
– Identification des objectifs visant à assurer la sécurité du SI selon les critères : Disponibilité, Intégrité et Confidentialité
– Structuration en domaine/chapitres (niveau 1), objectifs de contrôles (niveau 2) et contrôles (niveau 3)
– Analyse complète et détaillée de chaque domaine (Politique de sécurité, Organisation de la sécurité, Classification et contrôle des actifs, Sécurité liée aux ressources humaines, Sécurité physique et environnementale, Exploitation et réseaux, Contrôle d »accès, Développement et maintenance des systèmes, Gestion des incidents, Continuité de service, Conformité)
– Mise en pratique et adaptation du référentiel et des bonnes pratiques à son organisme/entreprise
– Les dix bonnes pratiques incontournables
– Choix des indicateurs clés associés aux mesures choisies
La mise en oeuvre de la sécurité dans un projet (27003, 27004)
– Des spécifications sécurité à la recette sécurité
– Comment respecter la PSSI et les exigences de sécurité du client/MOA
– De l »analyse de risques à la construction de la déclaration d »applicabilité
– Les normes ISO 27003, 15408 comme référentiel et guide
– Intégration de mesures de sécurité au sein des développements spécifiques
– Les règles à respecter pour l »externalisation, les clauses « sécurité » du contrat
– Assurer un suivi du projet dans sa mise en oeuvre puis sa mise en exploitation
– Les rendez-vous « Sécurité » avant la recette
– La recette du projet ; comment la réaliser : test d »intrusion et/ou audit technique ?
– Le choix d »un auditeur/testeur indépendant, qualités recherchées ?
– Intégrer le cycle PDCA dans le cycle de vie du projet
– Préparer les indicateurs : premiers pas vers l »amélioration continue
– Mettre en place un tableau de bord avec les chiffres clés, exemples
– L »apport de la norme 27004, méthodologie et démarche
– Veille technologique spécifique du projet
Les audits de sécurité ISO 19011
– Processus continu et complet Quelles sont les étapes ? Quelles sont les priorités ?
– Les catégories d »audits, de l »audit organisationnel à l »audit technique
– L »audit interne, externe, tierce partie, comment choisir son auditeur ?
– Le déroulement type ISO de l »audit, les étapes clés
– Les objectifs d »audit, le contrôle de la qualité d »un programme d »audit
– La démarche d »amélioration (type PDCA) pour l »audit
– Les qualités techniques et humaines des auditeurs, leur évaluation
– L »audit organisationnel : la démarche, les méthodes les plus utilisées
– Apports comparés, démarche récursive, les implications humaines
Les bonnes pratiques juridiques applicables à la sécurité
– Rappel sur les bases du droit : comment s »applique une loi, de la règle de droit à la décision de justice
– Entre jurisprudence et constitution : la hiérarchie des règles de droit
– La propriété intellectuelle des logiciels, la responsabilité civile délictuelle et contractuelle
– La responsabilité pénale, les responsabilités des dirigeants, la délégation de pouvoir, les sanctions, la loi LCEN
– Entre conformité ISO et conformité juridique : complémentarité, recouvrement et règlements des conflits-contradictions
La certification ISO de la sécurité du SI La relation auditeur-audité
– De l »intérêt de cette démarche, la recherche du « label »
– Le choix de l »ISO pour accompagner sa démarche sécurité
– Comment les normes de sécurité ISO s »intègrent-elles efficacement dans les projets informatiques
– L »ISO : complément indispensable des cadres réglementaires et standard (COBIT, ITIL)
– Les enjeux économiques escomptés, un intérêt concurrentiel à déterminer
– Les organismes certificateurs, le choix en France, en Europe
– La démarche d »audit, les étapes et les charges de travail
– La norme ISO 27006, les obligations pour les certificateurs
– Les coûts récurrents et non récurrents de la certification
Profil Stagiaires & Pré-requis
Préparation aux certificats ISO Lead Implementer et Lead Auditor’, ‘2017’, ‘RSSI, Risk Manager, directeurs ou responsables informatiques, MOE/ MOA, ingénieurs ou correspondants Sécurité, chefs de projets intégrant des contraintes de sécurité, Auditeurs internes et externes, futurs « audités ». Connaissances de base de la sécurité informatique.’, ‘Les animateurs sont tous reconnus comme des experts dans le domaine de la sécurité du Système d »Information. Certifiés lead Auditor 27001 eux-mêmes, ils vous feront partager leurs propres expériences d »implémentations réussies de ISMS et d »audit ISO 27001-19011. Un avocat spécialisé dans les IT viendra vous rappeler les règles à respecter pour mettre en conformité juridique avec les lois françaises et européennes votre Système de Management de la Sécurité
Prix : 2510 € HT
Paris, Lyon, Aix, Nantes, Rennes, Toulouse, Bordeaux, Bruxelles, Strasbourg, Lille, Geneve, Sophia Antipolis, Luxembourg
Dates de Formation
Nous consulter