Formation ISO 27001 Lead Implementer (examen inclus)
- Référence : SECLI27001
- Durée : 35 heures
- Certification : ISO 27001
- Eligible CPF : Non
RÉSUMÉ
La formation certifiante ISO 27001 Lead Implementer permet d'obtenir la certification ISO 27001 au terme de 5 jours de formation. Une connaissance globale de la sécurité des systèmes d'information est nécessaire pour suivre cette formation, qui s'adresse aux responsables et consultants en charge de la sécurité de l'information ou aux professionnels travaillant avec un SMSI. Cette formation vise à appréhender la corrélation entre la norme ISO 27001 et la ISO 27002, et d'autres normes et cadres réglementaires, et de maîtriser toutes les techniques, approches pour mettre en oeuvre un SMSI (Système de Management de la Sécurité de l’Information). Cette formation permettra également d’accompagner et conseiller une structure quant au processus complet d'implémentation d'un SMSI efficace, de la planification à la maintenance.
CONNAISSANCES PREALABLES
- 1-La certification ISO 27001 Foundation ou des connaissances de base sur la norme ISO 27001 sont recommandées
- 2-La formation est dispensée sur la version 2022 de la norme ISO/CEI 27001
- 3- Il est conseillé aux participants de se munir d’un exemplaire de la norme pour suivre la formation et passer la certification dans des conditions optimales
PROFIL DES STAGIAIRES
- 1- Responsables ou consultants impliqués dans le management de la sécurité de l’information
- 2- Conseillers spécialisés désirant maîtriser la mise en œuvre d’un Système de management de la sécurité de l’information
- 3-Toute personne responsable du maintien de la conformité aux exigences du SMSI
- 4- Membres d’une équipe du SMSI
OBJECTIFS
- Expliquer les concepts et principes fondamentaux d’un système de management SMSI basé sur ISO/IEC 27001
- Interpréter les exigences d’ISO/IEC 27001 pour un SMSI du point de vue d’un responsable de la mise en œuvre
- Initier et planifier la mise en œuvre d’un SMSI basé sur ISO/IEC 27001, en utilisant la méthodologie IMS2 de PECB et d’autres bonnes pratiques
- Soutenir un organisme dans le fonctionnement, le maintien et l’amélioration continue d’un SMSI basé sur ISO/IEC 27001
- Préparer un organisme à un audit de certification par une tierce partie
METHODES PEDAGOGIQUES
- Mise à disposition d’un poste de travail par participant
- Remise d’une documentation pédagogique papier ou numérique pendant le stage
- La formation est constituée d’apports théoriques, d’exercices pratiques et de réflexions
METHODES D'EVALUATION DES ACQUIS
- Auto-évaluation des acquis par le stagiaire via un questionnaire
- Attestation de fin de stage adressée avec la facture
FORMATEUR
Consultant-Formateur expert Management de la sécurité
CONTENU DU COURS Management de la sécurité
1 - JOUR 1 : Introduction à la norme ISO/IEC 27001:2022 et initiation d’un SMSI
2 - Objectifs et structure de la formation
- Introduction
- Informations générales
- Objectifs d’apprentissage
- Approche éducative
- Examen et certification
- À propos de PECB
3 - Normes et cadres réglementaires
- Qu’est-ce que l’ISO ?
- La famille de normes ISO/IEC 27000
- Avantages d’ISO/IEC 27001:2022
4 - Système de management de la sécurité de l’information (SMSI)
- Définition de système de management
- Normes relatives aux systèmes de management
- Systèmes de management intégrés
- Définition d’un SMSI
- Approche processus
- Vue d’ensemble – articles 4 à 10
- Vue d’ensemble – Annexe A
5 - Concepts et principes fondamentaux de la sécurité de l’information
- Information et actif
- Sécurité de l’information
- Confidentialité, intégrité et disponibilité
- Vulnérabilité, menace et impact
- Risque de sécurité de l’information
- Classification des mesures de sécurité
6 - Initiation de la mise en œuvre du SMSI
- Définition de l’approche de la mise en œuvre du SMSI
- Approches de mise en œuvre proposées
- Application des approches de mise en œuvre proposées
- Choisir un cadre méthodologique pour gérer la mise en œuvre d’un SMSI
- Approche et méthodologie
- Alignement sur les bonnes pratiques
7 - Compréhension de l’organisation et de son contexte
- Mission, objectifs, valeurs et stratégies de l’organisation
- Objectifs du SMSI
- Définition préliminaire du périmètre
- Environnement interne et externe
- Principaux processus et activités
- Parties intéressées
- Exigences métier
8 - Domaine d’application du SMSI
- Limites du SMSI
- Limites organisationnelles
- Limites de la sécurité de l’information
- Limites physiques
- Énoncé du périmètre du SMSI
9 - JOUR 2 : Planification de la mise en œuvre d’un SMSI
10 - Leadership et approbation du projet
- Étude de faisabilité
- Exigences relatives aux ressources
- Plan du projet SMSI
- Équipe de projet SMSI
- Approbation de la direction
11 - Structure organisationnelle
- Structure organisationnelle
- Coordinateur de la sécurité de l’information
- Rôles et responsabilités des parties intéressées
- Rôles et responsabilités des principaux comités
12 - Analyse du système existant
- Détermination de l’état actuel
- Réalisation de l’analyse des écarts
- Établissement des objectifs de maturité
- Publication d’un rapport d’analyse des écarts
13 - Politique de sécurité de l’information
- Types de politiques
- Modèles de politiques
- Politique de sécurité de l’information
- Politiques de sécurité spécifiques
- Approbation de la politique de management
- Publication et diffusion
- Sessions de formation et de sensibilisation
- Contrôle, évaluation et revue
14 - Gestion des risques
- ISO 31000
- ISO/IEC 27005
- Établissement du contexte
- Identification des risques
- Analyse des risques
- Évaluation des risques
- Traitement des risques
- Communication et consultation
- Enregistrement et élaboration de rapports
- Surveillance et revue
15 - Déclaration d'applicabilité
- Rédaction de la Déclaration d’applicabilité
- Approbation de la direction
- Revue et sélection des mesures de sécurité de l’information applicables
- Justification des mesures de sécurité sélectionnées
- Justification des mesures de sécurité exclues
16 - JOUR 3 : Mise en œuvre du SMSI
17 - Gestion des informations documentées
- Valeur et types d’informations documentées
- Liste maîtresse des informations documentées
- Création de modèles
- Processus de gestion de l’information documentée
- Mise en œuvre d’un système de management de l’information documentée
- Gestion des enregistrements
18 - Sélection et conception des mesures
- Architecture de sécurité de l’organisation
- Préparation de la mise en œuvre des mesures
- Conception et description des mesures
19 - Mise en œuvre des mesures
- Mise en œuvre des processus et des mesures de sécurité
- Introduction des mesures de l’Annexe A
20 - Tendances et technologies
- Mégadonnées (Big data)
- Les trois V des mégadonnées
- Intelligence artificielle
- Apprentissage automatique (Machine learning)
- Apprentissage automatique (Machine learning)
- Externalisation des opérations
- Impact des nouvelles technologies en sécurité de l’information
21 - Communication
- Principes d’une stratégie de communication efficace
- Processus de communication de sécurité de l’information
- Définition des objectifs de communication
- Identification des parties intéressées
- Planification des activités de communication
- Réalisation d’une activité de communication
- Évaluation de la communication
22 - Compétence et sensibilisation
- Compétences et développement du personnel
- Différence entre formation, sensibilisation et communication
- Détermination des besoins en compétences
- Planification des activités de développement des compétences
- Définition du type et de la structure du programme de développement des compétences
- Programmes de formation et de sensibilisation
- Organisation des formations
- Évaluation des résultats des formations
23 - Gestion des opérations de sécurité
- Planification de la gestion du changement
- Gestion des opérations
- Gestion des ressources
- ISO/IEC 27035-1 et ISO/IEC 27035-2
- ISO/IEC 27032
- Politique de gestion des incidents en sécurité de l’information
- Processus et procédure de gestion des incidents
- Équipe de réponse aux incidents
- Mesures de sécurité pour la gestion des incidents
- Processus forensiques
- Enregistrement des incidents de sécurité de l’information
- Mesure et revue du processus de gestion des incidents
24 - JOUR 4 : Suivi, amélioration continue et préparation à l'audit de
25 - Suivi, mesure, analyse et évaluation
- Détermination des objectifs de mesure
- Définition de ce qui doit être surveillé et mesuré
- Établissement des indicateurs de performance du SMSI
- Rapport de résultats
26 - Audit interne
- Qu’est-ce qu’un audit ?
- Types d’audits
- Création d’un programme d’audit interne
- Désignation d’une personne responsable
- Établissement de l’indépendance, de l’objectivité et de l’impartialité
- Planification des activités d’audit
- Réalisation des activités d’audit
- Suivi des non-conformités
27 - Revue de direction
- Préparation d’une revue de direction
- Conduite d’une revue de direction
- Résultats de la revue de direction
- Activités de suivi de la revue de direction
28 - Traitement des non-conformités
- Processus d’analyse des causes fondamentales
- Outils d’analyse des causes fondamentales
- Procédure d’actions correctives
- Procédure d’actions préventives
29 - Amélioration continue
- Processus de surveillance continue
- Maintien et amélioration du SMSI
- Mise à jour continue des informations documentées
- Documentation des améliorations
30 - Préparation à l’audit de certification
- Sélection de l’organisme de certification
- Préparation à l’audit de certification
- Étape 1 de l’audit
- Étape 2 de l’audit
- Suivi d’audit
- Décision de certification
31 - Clôture de la formation
- Schéma de certification de PECB
- Processus de certification PECB
- Autres services PECB
- Autres formations et certifications PECB
32 - JOUR 5 : Préparation et Passage de la certification
- L’examen couvre les domaines de compétences suivants :
- Domaine 1 : Principes et concepts fondamentaux du Système de management de la sécurité de l’information
- Domaine 2 : Système de management de la sécuritén de l’information
- Domaine 3 : Planification de la mise en œuvre d’un SMSI selon la norme ISO/CEI 27001:2022
- Domaine 4 : Mise en œuvre d’un SMSI conforme à la la norme ISO/CEI 27001:2022
- Domaine 5 : Évaluation de la performance surveillance et mesure d’un SMSI selon la norme ISO/CEI 27001
- Domaine 6 : Amélioration continue d’un SMSI selon la norme ISO/CEI 27001
- Domaine 7 : Préparation de l’audit de certification d’un SMSI
Pourquoi suivre une formation avec certification ISO 27001 ?
Il faut savoir que cette norme ISO 27001 est aujourd’hui devenue la norme référente dans l’enjeu crucial de la gestion de la sécurité de l’information. En effet, elle assure aux différents organismes et entreprises qui utilisent cette norme l’amélioration du niveau des systèmes de sécurité de l’information. Comme toutes les normes de management de la gestion de la sécurité de l’information, elle n’est pas obligatoire mais conseillée. En effet, la bonne connaissance de la norme ISO 27001 est un atout majeur car elle assure la gestion des données personnelles et informatiques de façon sécuritaire. Ainsi, une entreprise certifiée ISO 27001 montre à ses prestataires et ses partenaires qu’elle a conscience des risques importants pesant sur cette notion qu’est la gestion des données sensibles.