Introduction:

Terminologie ISO 27000
Définitions : menace, vulnérabilité, protection.
La notion de risque (potentialité, impact, gravité).
La classification CID (Confidentialité, Intégrité, Disponibilité).
La gestion du risque (prévention, protection, report, externalisation).
Les réglementations SOX, PCI-DSS, COBIT. Pour qui ? Pourquoi ? Interaction avec l’ISO.
Vers la gouvernance IT, les liens avec ITIL® et l’ISO 20000.
L’alignement COBIT, ITIL® et ISO 27002.

La norme ISO 27001:2013 :

Définition d’un Système de Gestion de la Sécurité des Systèmes (ISMS).
Objectifs à atteindre par votre SMSI.
L’approche “amélioration continue” comme principe fondateur, le modèle PDCA (roue de Deming).
La norme ISO 27001 intégrée à une démarche qualité type SMQ. le management des risques.
De l’importance de l’appréciation des risques. Choix d’une méthode type ISO 27005:2011.

Les bonnes pratiques, référentiel ISO 27002:2013 :

Objectifs de sécurité : Disponibilité, Intégrité et Confidentialité.
Structuration en domaine/chapitres (niveau 1), objectifs de contrôles (niveau 2) et contrôles (niveau 3).
La norme ISO 27002:2013 : les 14 domaines et 113 bonnes pratiques.
Exemples d’application du référentiel à son entreprise : les mesures de sécurité clés indispensables.

La mise en oeuvre de la sécurité dans un projet SMSI :

Des spécifications sécurité à la recette sécurité.
Comment respecter la PSSI et les exigences de sécurité du client/MOA ?
De l’analyse de risques à la construction de la déclaration d’applicabilité.
Assurer un suivi du projet dans sa mise en oeuvre puis sa mise en exploitation.
Intégrer le cycle PDCA dans le cycle de vie du projet.
La recette du projet ; comment la réaliser : test d’intrusion et/ou audit technique ?
Préparer les indicateurs. L’amélioration continue.
Mettre en place un tableau de bord. Exemples.
La gestion des vulnérabilités dans un SMSI : scans réguliers, Patch Management…

Cette formation permettra d’avoir une compréhension du cadre de gestion de la sécurité de l’information dans la cadre de la norme ISO 27000

Pas de pré-requis

Détails

  • Catégorie Gouvernance IT & Sécurité
  • Durée 2 jours