ISO 27001 ...
OBJECTIFS
Cette formation a pour objectif de présenter l'ensemble des normes ISO traitant la sécurité du système d'information et de son management. Il expose les composants techniques et juridiques intimement liés à l'application d'un référentiel de sécurité normé et la mise en œuvre de projets de sécurité visant la certification ISO. Il s'accompagne d'une démarche pédagogique, mêlant présentation, études de cas et exercices pratiques,
adaptée à la conduite et au suivi d'un audit sécurité.
PUBLIC
Auditeurs internes,
Risk Manager,
RSSI,
directeurs ou responsables informatiques,
ingénieurs ou correspondants Sécurité,
chefs de projets intégrant des contraintes de sécurité.
CONTENU DE LA FORMATION
Introduction
Rappels. Terminologie ISO 27000.
La notion de risque (potentialité, impact, gravité).
La classification CAID (Confidentialité, Auditabilité, Intégrité, Disponibilité).
La gestion du risque (prévention, protection, report de risque, externalisation).
Analyse de la sinistralité. Evolutions et tendances observées, nouveaux enjeux.
Les réglementations SOX, COSO, COBIT. Pour qui ? Pourquoi ?
Vers la gouvernance informatique, les liens avec ITIL et CMMI.
Les réglementations sectorielles (BALE II...).
L'apport de l'ISO pour les cadres réglementaires.
Les normes ISO 2700x
Rappel historique sur les normes de sécurité vues par l'ISO.
Les standards BS 7799, leurs apports à l'ISO.
Les normes actuelles (ISO 27001, 17799...).
Les normes à venir (27004, 27003...).
Comment anticiper et se préparer efficacement dans l'attente de ces normes ?
La convergence avec les normes qualité.
La norme ISO 27001
Les normes ISO 17799, 2700x, l'histoire BS 7799.
La norme ISO dans une démarche qualité, le modèle PDCA (roue de Deming).
Les liens avec ISO 15408 (critères communs, ITSEC, TCSEC).
Les contraintes associées, la mise en conformité réglementaire.
Comment spécifier un Système de Gestion de la Sécurité des Systèmes (ISMS).
L'approche PDCA comme principe fondateur.
Le référentiel ISO 27002
Identification des objectifs visant à assurer la sécurité du SI selon les critères :
- Disponibilité, Intégrité et Confidentialité.
Structuration en domaine/chapitres (niveau 1), objectifs de contrôles (niveau 2) et contrôles (niveau 3).
Analyse complète et détaillée de chaque domaine (Politique de sécurité, Organisation de la sécurité, Classification et contrôle des actifs, Sécurité liée aux ressources humaines, Sécurité physique et environnementale, Exploitation et réseaux, Contrôle d'accès, Développement et maintenance des systèmes, Gestion des incidents, Continuité de service, Conformité).
Mise en pratique et adaptation du référentiel et des bonnes pratiques à son organisme/entreprise.
Exemples pragmatiques de « bonnes pratiques ISO ».
Les audits de sécurité ISO 19011
Processus continu et complet. Quelles sont les étapes ? Quelles sont les priorités ?
Pour vous inscrire, veillez nous écrire à formation@dataprotect.ma