Formation : Audit sécurité ISO 27001
Se former
avec ORSYS
- Renseignements :
- Durée : 3 Jours
- Type : En centre (inter)
- Diplômant : Non
- Prix H.T. € :
2140.00
- Objectifs :
- Ce séminaire a pour objectif de présenter l'ensemble des normes ISO traitant de la sécurité du système d'information et de son management. Cette présentation développe aussi les thèmes techniques, organisationnels et juridiques intimement liés à l'application d'un référentiel de sécurité normé et la mise en oeuvre de projets de sécurité visant la certification d'un Système de Management de la Sécurité de l'Information.
- Public visé :
- Auditeurs internes et externes, Risk Manager, RSSI, directeurs ou responsables informatiques, ingénieurs ou correspondants Sécurité, chefs de projets intégrant des contraintes de sécurité, futurs « audités ».
- Introduction - normes ISO série 27000
- Rappels. Terminologie ISO 27000 et ISO Guide 73.
- Définitions de la menace, vulnérabilité, mesures de protection.
- La gestion du risque (prévention, protection, report de risque, externalisation).
- Les réglementations SOX, COSO, COBIT, Pour qui ? pourquoi ?
- L'alignement des référentiels COBIT, ITIL et ISO 27002
- Les normes actuelles (ISO 27001, 27002...) et à venir (27004, 27005...).
La norme ISO 27001
- Définition d'un Système de Gestion de la Sécurité des Systèmes (ISMS).
- La norme ISO 27001 dans une démarche qualité, le modèle PDCA (roue de Deming).
- Les phases Plan-Do-Check-Act dans le détail (sections 4 à 8).
- De la spécification du périmètre ISMS au SoA (Statement of applicability).
- Les recommandations pragmatiques de l'ISO 27001 pour l'analyse des risques.
- Les audits internes obligatoires du SMSI, démarche.
- L'amélioration SMSI, la mise en oeuvre d'actions correctives et préventives.
- La présentation des indicateurs et tableaux de bord, exemples de formats.
- L'annexe A en lien avec la norme 27002.
Le référentiel ISO 17799-27002
- Identification des objectifs visant à assurer la sécurité du SI selon les critères : Disponibilité , Intégrité et Confidentialité.
- Analyse complète et détaillée de chaque domaine (Politique de sécurité, Organisation de la sécurité, Classification et contrôle des actifs, Sécurité liée aux ressources humaines, Sécurité physique et environnementale, Exploitation et réseaux, Contrôle d'accès, Développement et maintenance des systèmes, Gestion des incidents, Continuité de service, Conformité).
- Mise en pratique et adaptation du référentiel et des bonnes pratiques à son organisme/entreprise.
- Exemples pragmatiques de « bonnes pratiques ISO ».
Les audits de sécurité ISO 19011
- Processus continu et complet. Quelles sont les étapes ? Quelles sont les priorités ?
- Les catégories d'audits, de l'audit organisationnel à l'audit technique.
- L'audit interne, externe, tierce partie : comment choisir son auditeur ?
- Les objectifs d'audit, le contrôle de la qualité d'un programme d'audit.
- Les qualités techniques et humaines des auditeurs, leur évaluation.
- L'audit organisationnel : la démarche, les méthodes les plus utilisées.
L'ISO et les principes juridiques applicables au SI
- Rappel sur les bases du droit : de la règle de droit à la décision de justice.
- La responsabilité pénale, la responsabilité des dirigeants, la délégation de pouvoir, les sanctions, la loi LCEN.
- Entre conformité ISO et conformité juridique : complémentarité, recouvrement et règlements des conflits-contradictions.
La certification ISO de la sécurité du SI
- De l'intérêt de cette démarche, la recherche du « label ».
- Comment les normes de sécurité ISO s'intègrent efficacement dans les projets informatiques.
- Les enjeux économiques escomptés, un intérêt concurrentiel à déterminer.
- La norme ISO 27006, les obligations pour les certificateurs.
- Les coûts récurrents et non récurrents de la certification.
- Animateurs
Les animateurs sont tous reconnus comme des experts dans le domaine de la sécurité du Système d'Information. Certifié lead Auditor 27001 eux-mêmes, ils vous feront partager leurs propres expériences d'implémentations réussies de ISMS et d'audit ISO 27001-19011. Un avocat spécialisé dans les IT viendra vous rappeler les règles à respecter pour mettre en conformité juridique avec les lois françaises et européennes votre Système de Management de la Sécurité.
