Formation : Implémenter et gérer un projet ISO 27001, 27002
Se former avec
ORSYS
- Renseignements :
- Durée : 3 Jours
- Type : En centre
- Diplômant : Oui
-
Prix H.T. € :2140.00
- Objectifs :
- Ce séminaire a pour objectif de présenter l’ensemble des normes ISO traitant de la sécurité du système d’information et de son management. Cette présentation développe les thèmes techniques, organisationnels et juridiques liés à l’application d’un référentiel de sécurité normé et à la mise en œuvre de projets de sécurité visant la certification d’un Système de Management de la Sécurité de l’Information.
- Public visé :
-
RSSI, Risk Manager, directeurs ou responsables informatiques, MOE/ MOA, ingénieurs ou correspondants Sécurité, chefs de projets intégrant des contraintes de sécurité, Auditeurs internes et externes, futurs « audités ».
- Introduction
- Rappels. Terminologie ISO 27000 et ISO Guide 73.
- Définitions de la menace, vulnérabilité, mesures de protection.
- La notion de risque (potentialité, impact, gravité).
- La classification CAID (Confidentialité, Auditabilité, Intégrité, Disponibilité).
- La gestion du risque (prévention, protection, report de risque, externalisation).
- Analyse de la sinistralité, Evolutions et tendances observées, nouveaux enjeux.
- Les réglementations SOX, COSO, COBIT, Pour qui ? pourquoi ?
- Vers la gouvernance informatique, les liens avec ITIL et CMMI.
- L’apport de l’ISO pour les cadres réglementaires.
- L’alignement des référentiels COBIT, ITIL et ISO 27002.
Les normes ISO 2700x
- Rappel historique sur les normes de sécurité vues par l’ISO.
- Les standards BS 7799, leurs apports à l’ISO.
- Les normes actuelles (ISO 27001, 27002…).
- Les normes à venir (27004, 27003…).
- Comment anticiper et se préparer efficacement dans l’attente de ces normes ?
- La convergence avec les normes qualité 9001 et environnement 14001.
- L’apport des qualiticiens dans une démarche sécurité.
La norme ISO 27001 – l’analyse de risque 27005
- Définition d’un Système de Gestion de la Sécurité des Systèmes (ISMS).
- Objectifs à atteindre par votre ISMS.
- L’approche « amélioration continue » comme principe fondateur.
- La norme ISO 27001 dans une démarche qualité, le modèle PDCA (roue de Deming).
- Les phases Plan-Do-Check-Act dans le détail (sections 4 à 8).
- De la spécification du périmètre ISMS au SoA (Statement of applicability.
- De l’importance de l’analyse de risques, choix d’une méthode.
- Les recommandations pragmatiques de l’ISO 27001 pour l’analyse des risques.
- L’apport des méthodes EBIOS/FEROS, MEHARI dans sa démarche de certification.
- Comment choisir une méthode ? Etre ou ne pas être « ISO spirit » ?
- L’adoption des mesures de sécurité techniques et organisationnelles efficientes.
- Les audits internes obligatoires du SMSI, démarche.
- L’amélioration SMSI : la mise œuvre d’actions correctives et préventives.
- Les mesures et contre-mesures des actions correctives et préventives.
- L’annexe A en lien avec la norme 27002.
Le référentiel de bonnes pratiques ISO 27002
- Identification des objectifs visant à assurer la sécurité du SI selon les critères : Disponibilité, Intégrité et Confidentialité.
- Structuration en domaine/chapitres (niveau 1), objectifs de contrôles (niveau 2) et contrôles (niveau 3).
- Analyse complète et détaillée de chaque domaine (Politique de sécurité, Organisation de la sécurité, Classification et contrôle des actifs, Sécurité liée aux ressources humaines, Sécurité physique et environnementale, Exploitation et réseaux, Contrôle d'accès, Développement et maintenance des systèmes, Gestion des incidents, Continuité de service, Conformité).
- Mise en pratique et adaptation du référentiel et des bonnes pratiques à son organisme/entreprise.
- Les dix bonnes pratiques incontournables.
- Choix des indicateurs clés associés aux mesures choisies.
La mise en œuvre de la sécurité dans un projet (27003, 27004)
- Des spécifications sécurité à la recette sécurité.
- Comment respecter la PSSI et les exigences de sécurité du client/MOA.
- De l’analyse de risques à la construction de la déclaration d’applicabilité.
- Les normes ISO 27003, 15408 comme référentiel et guide.
- Intégration de mesures de sécurité au sein des développements spécifiques.
- Les règles à respecter pour l’externalisation, les clauses « sécurité » du contrat.
- Assurer un suivi du projet dans sa mise en œuvre puis sa mise en exploitation.
- Les rendez-vous « Sécurité » avant la recette.
- La recette du projet ; comment la réaliser : test d’intrusion et/ou audit technique ?
- Le choix d’un auditeur/testeur indépendant, qualités recherchées ?
- Intégrer le cycle PDCA dans le cycle de vie du projet.
- Préparer les indicateurs : premiers pas vers l’amélioration continue.
- Mettre en place un tableau de bord avec les chiffres clés, exemples.
- L’apport de la norme 27004, méthodologie et démarche.
- Veille technologique spécifique du projet.
Les audits de sécurité ISO 19011
- Processus continu et complet. Quelles sont les étapes ? Quelles sont les priorités ?
- Les catégories d’audits, de l’audit organisationnel à l’audit technique.
- L’audit interne, externe, tierce partie, comment choisir son auditeur ?
- Le déroulement type ISO de l’audit, les étapes clés.
- Les objectifs d’audit, le contrôle de la qualité d’un programme d’audit.
- La démarche d’amélioration (type PDCA) pour l’audit.
- Les qualités techniques et humaines des auditeurs, leur évaluation.
- L’audit organisationnel : la démarche, les méthodes les plus utilisées.
- Apports comparés, démarche récursive, les implications humaines.
Les bonnes pratiques juridiques applicables à la sécurité
- Rappel sur les bases du droit : comment s’applique une loi, de la règle de droit à la décision de justice.
- Entre jurisprudence et constitution : la hiérarchie des règles de droit.
- La propriété intellectuelle des logiciels, la responsabilité civile délictuelle et contractuelle.
- La responsabilité pénale, les responsabilités des dirigeants, la délégation de pouvoir, les sanctions, la loi LCEN.
- Entre conformité ISO et conformité juridique : complémentarité, recouvrement et règlements des conflits-contradictions.
La certification ISO de la sécurité du SI. La relation auditeur-audité
- De l’intérêt de cette démarche, la recherche du « label ».
- Le choix de l’ISO pour accompagner sa démarche sécurité.
- Comment les normes de sécurité ISO s’intègrent-elles efficacement dans les projets informatiques.
- L’ISO : complément indispensable des cadres réglementaires et standard (COBIT, ITIL…).
- Les enjeux économiques escomptés, un intérêt concurrentiel à déterminer.
- Les organismes certificateurs, le choix en France, en Europe.
- La démarche d’audit, les étapes et les charges de travail.
- La norme ISO 27006, les obligations pour les certificateurs.
- Les coûts récurrents et non récurrents de la certification.
2008 au 2009 ()
2008 au 2009 (31)
2008 au 2009 (13)
2008 au 2009 (35)
2008 au 2009 (44)
2008 au 2009 (69)
2008 au 2009 (92)
2008 au 2009 (75)
