> Formations > Technologies numériques > Cybersécurité > Référentiels ISO, ISACA, (ISC)2… > Formation Implémenter et gérer un projet ISO 27001:2022 > Formations > Technologies numériques > Formation Implémenter et gérer un projet ISO 27001:2022
Formation référencée dans le catalogue Clé en main d’un OPCO

Formation : Implémenter et gérer un projet ISO 27001:2022

préparation aux certifications LSTI

Implémenter et gérer un projet ISO 27001:2022

préparation aux certifications LSTI
Télécharger le programme Partager cette formation


La norme internationale de maîtrise du risque ISO/CEI 27001 lié à la sécurité de l'information décrit les bonnes pratiques à mettre en place pour qu'une organisation puisse maîtriser efficacement les risques liés à l'information. Ce cours présente les normes ISO de la sécurité du Système d'Information puis les éléments pour mettre en place un système de management (SMSI) du risque de la sécurité de l'information.


Inter
Intra
Sur mesure

Séminaire en présentiel ou en classe à distance

Réf. ASE
Prix : 2890 € H.T.
  3j - 21h00
Pauses-café et
déjeuners offerts
Financements




La norme internationale de maîtrise du risque ISO/CEI 27001 lié à la sécurité de l'information décrit les bonnes pratiques à mettre en place pour qu'une organisation puisse maîtriser efficacement les risques liés à l'information. Ce cours présente les normes ISO de la sécurité du Système d'Information puis les éléments pour mettre en place un système de management (SMSI) du risque de la sécurité de l'information.

Objectifs pédagogiques
À l’issue de la formation, le participant sera en mesure de :
  • Expliquer les composants d’un système de management de la sécurité de l’information (SMSI) conforme à ISO 27001
  • Expliquer le contenu et la corrélation entre ISO 27001 et 27002 ainsi qu’avec d’autres normes et cadres réglementaires
  • Adapter les exigences de la norme ISO 27001 au contexte spécifique d'un organisme
  • Interpréter les exigences d’ISO 27001 dans le cadre de l’audit d’un SMSI
  • Aligner les différentes approches de la gouvernance SSI (ISO, LPM, NIS, …)

Public concerné
RSSI, Risk Managers, directeurs ou responsables informatiques, MOE/ MOA, ingénieurs ou correspondants Sécurité, chefs de projets, auditeurs internes et externes, futurs "audités".

Prérequis
Connaissances de base de la sécurité informatique.
Vérifiez que vous avez les prérequis nécessaires pour profiter pleinement de cette formation en faisant  ce test.

Programme de la formation

Introduction

  • Rappels. Terminologie ISO 27000 et ISO Guide 73.
  • La notion de risque (conséquence, vraisemblance).
  • La classification minimale CID (Confidentialité, Intégrité, Disponibilité).
  • La gestion du risque (réduction, maintien, refus, partage).
  • Analyse de la sinistralité. Tendances. Enjeux.
  • Les réglementations de sécurité (métiers, juridiques, …) exemple PCI-DSS, NIST, LPM/NIS.
  • Pour qui ? Pourquoi ? Interaction avec l’ISO.
  • L’alignement ISO avec Gouvernance / Protection / Défense / Résilience.

Les normes ISO 2700x

  • Historique des normes de sécurité vues par l'ISO.
  • Les normes fondatrices (ISO 27001, 27002).
  • Les normes indispensables (ISO 27005, 27004, 27003, etc).
  • La convergence avec les autres normes « Système de Management ».

La norme ISO 27001:2022

  • La revue de direction et le traitement des causes pour l’amélioration continue.
  • Définition d'un Système de management de Sécurité de l’Information (ISMS).
  • Objectifs à atteindre par votre SMSI.
  • L'approche "amélioration continue" comme principe fondateur, le modèle PDCA (roue de Deming).
  • La norme ISO 27001 intégrée à une démarche globale de gouvernance par le risque.
  • De la spécification du périmètre SMSI à la cartographie des actifs.
  • Les recommandations de l'ISO 27005 pour le management des risques.
  • De l'importance de l'appréciation des risques. Choix d'une méthode type ISO 27005:2022 / ISO 31000.
  • Conseils pour l’élaboration du Plan de traitement des risques.
  • L’apport des méthodes publiées (ex : EBIOS RM) à l’appréciation des risques cyber.
  • L’adoption de mesures de sécurité techniques et organisationnelles efficientes.
  • L’élaboration de la déclaration d’applicabilité sur base Annexe A.
  • Les audits internes obligatoires du SMSI. Construction d’un programme d’audit.
  • La mise en œuvre d’actions correctives (conséquence) et préventives.

Les bonnes pratiques, référentiel ISO 27002:2022

  • La structuration du premier niveau : mesures organisationnelles, liées aux personnes, d'ordre physique, technologiques.
  • Le traitement des risques (#Prévention, #Détection, #Correction).
  • Les concepts de cybersécurité : #Identification, #Protection, #Détection, #Traitement, #Récupération.
  • Les capacités opérationnelles : #Gouvernance, #Gestion_des_actifs, Protection_des_informations, #Sécurité_des_RH.
  • #Sécurité_physique, #Sécurité_système_et_réseau, #Sécurité_des_applications, #Configuration_sécurisée.
  • #Gestion_des_identités_et_des_accès.
  • Les domaines de sécurité (#Gouvernance_et_écosystème, #Protection, #Défense, #Résilience)
  • La norme ISO 27002:2022 : aperçu des 93 bonnes pratiques.
  • Nouvelles pratiques ISO 27002:2022, les mesures supprimées de la norme ISO 27002:2017. Les modifications, agrégations.
  • Exemples d'application du nouveau référentiel à son organisme : les mesures de sécurité clés indispensables.

La mise en œuvre de la sécurité dans un projet SMSI

  • Des spécifications sécurité à la recette sécurité.
  • Comment respecter la PSSI et les exigences de sécurité du client/MOA ?
  • De l'analyse de risques à la construction de la déclaration d'applicabilité.
  • Intégration de mesures de sécurité au sein des développements spécifiques.
  • Les règles à respecter pour l'externalisation.
  • Assurer un suivi du projet dans sa mise en œuvre puis sa mise en exploitation.
  • Les rendez-vous "Sécurité" avant la recette.
  • Intégrer le cycle PDCA dans le cycle de vie du projet.
  • La recette du projet, comment la réaliser ? Quels types d’audit ?
  • Préparer les indicateurs. Indicateurs d’efficacité et de conformité.
  • Mettre en place un tableau de bord de gouvernance. Exemples.
  • L’apport de la norme 27004 :2016 dans la construction des métriques.

Les audits de sécurité normes ISO 19011 et ISO 17021

  • Processus continu et complet. Étapes, priorités.
  • La construction du programme d’audits internes.
  • Les catégories d'audits, organisationnels, techniques, etc.
  • L'audit interne, externe, tierce partie.
  • Le déroulement type ISO de l'audit, les étapes clés.
  • Les objectifs d'audit, la qualité d'un audit.
  • La démarche d'amélioration pour l'audit.
  • Les qualités des auditeurs, leur évaluation.
  • L'audit de la gouvernance du Système de Management : démarche, méthodes.

La certification ISO de la sécurité du SI : le certificat SMSI

  • Intérêt de cette démarche, la recherche du "label".
  • Les critères de choix du périmètre. Domaine d’application. Implication des parties intéressées.
  • L’ISO : complément indispensable des cadres réglementaires et standards ?
  • Les enjeux business et/ou réglementaires escomptés.
  • Organismes certificateurs, choix en France et dans le monde.
  • Démarche d'audit, étapes et charges de travail.
  • Normes ISO 17021 et ISO 27006, obligations pour les certificateurs.
  • Coûts de la certification, ROI.


Certification
En mode distanciel, le candidat doit acquérir lui-même l’ensemble des normes nécessaire (ISO 27000, ISO 27001, ISO 27002, ISO 27005, ISO 27006, ISO 19011, ISO 17021, ISO 27006). En mode présentiel, chez Orsys, les normes sont prêtées au format papier durant la formation.

Modalités pratiques
Certificat
Préparation aux certificats ISO 27001 Implementer et Lead Auditor.

Modalités d'évaluation
Le formateur évalue la progression pédagogique du participant tout au long de la formation au moyen de QCM, mises en situation, travaux pratiques…
Le participant complète également un test de positionnement en amont et en aval pour valider les compétences acquises.

Solutions de financement
Pour trouver la meilleure solution de financement adaptée à votre situation : contactez votre conseiller formation.
Il vous aidera à choisir parmi les solutions suivantes :
  • Le plan de développement des compétences de votre entreprise : rapprochez-vous de votre service RH.
  • Le dispositif FNE-Formation.
  • L’OPCO (opérateurs de compétences) de votre entreprise.
  • France Travail sous réserve de l’acceptation de votre dossier par votre conseiller France Travail.
  • Le plan de développement des compétences de votre entreprise : rapprochez-vous de votre service RH.
  • Le dispositif FNE-Formation.
  • L’OPCO (opérateurs de compétences) de votre entreprise.
  • France Travail sous réserve de l’acceptation de votre dossier par votre conseiller France Travail.

Financement par les actions collectives ou clé en main
Jusqu’à 100% de prise en charge des frais pédagogiques de la formation dans la cadre des actions collectives ou des tarifs négociés avec les actions « clé en main » mises en place par les OPCO. Cliquez sur l’OPCO pour découvrir les modalités financières associées

Avis clients
4,4 / 5
Les avis clients sont issus des évaluations de fin de formation. La note est calculée à partir de l’ensemble des évaluations datant de moins de 12 mois. Seules celles avec un commentaire textuel sont affichées.
VINCENT C.
18/11/24
5 / 5

Formateurs pédagogue avec de l’expérience terrain.Contenu complet avec le rapprochement de toutes les normes environnantes au sujet.
SEBASTIEN V.
18/11/24
4 / 5

Disparité entre les 2 formateurs
MAMADOU D.
18/11/24
5 / 5

C’est dommage qu’on ne se repose pas sur le document de norme en lui meme.




Horaires
En présentiel, les cours ont lieu de 9h à 12h30 et de 14h à 17h30.
Les participants sont accueillis à partir de 8h45. Les pauses et déjeuners sont offerts.
En classe à distance, la formation démarre à partir de 9h.
Pour les stages pratiques de 4 ou 5 jours, quelle que soit la modalité, les sessions se terminent à 16h le dernier jour.

Dates et lieux
Sélectionnez votre lieu ou optez pour la classe à distance puis choisissez votre date.
Classe à distance