Duquesne Group Duquesne Group

English version
Formations

Nous croyons qu'une formation n'est de valeur que si elle est animée par son auteur qui peut l'illustrer d'exemples issus de son expérience. De plus nous attachons de l'importance à la richesse du support remis en cours. Créées et animées par nos experts réputés, nos formations couvrent tous les aspects de la continuité d'activité. Contactez-nous pour en savoir +
French version
Training

Duquesne Group training sessions are led by our best experts, covering domains such as security, business continuity and IT risk management. Contact us to find out more


Cours certifiant ISO 27001 "Système de Management de la Sécurité de l'Information" Lead Auditor

Cours donné par Duquesne Group avec certification du PECB.
Pour une formation intra-muros, nous contacter.


A qui s'adresse ce cours ?

du 19 au 23 novembre 2018

Ce cours s'adresse en particulier :

  • à des responsables auditeurs internes souhaitant aborder la sécurité de l'information de manière rigoureuse
  • à des responsables métiers ou informatiques souhaitant se préparer à un audit de sécurité certifiant ou non
  • à des responsables RH, ou d'infrastructure ou de bâtiments souhaitant connaître ce que la norme exige dans leurs domaines
  • aux chefs de projets voulant mettre en place un système de management de la sécurité conforme à la norme en vue d'un audit
  • à des directeurs voulant connaître l'approche système de management ISO de la sécurité de l'information
  • enfin à tout auditeur ayant besoin de la certification

Le contenu du cours : la norme et l'audit

Bien évidemment, ce cours présente la norme et la manière de l'auditer selon les règles.

Sont ainsi prévus les points suivants sur le système de management :

  • le cycle PDCA, le vocabulaire, les autres normes voisines
  • le périmètre du SMSI
  • les enjeux de sécurité
  • l'engagement de la direction
  • les ressources et moyens pour le SMSI
  • formation et sensibilisation
  • communication et documentation
  • le suivi des plans d'actions
  • l'appréciation et le traitement des risques
  • la déclaration d'applicabilité
  • l'Annexe A en synthèse
  • les contrôles et revues par le management
  • les indicateurs
  • l'audit interne
  • la revue de direction
  • les non-conformités et leur reconnaissance et traitement
  • l'amélioration continue

L'attention est mise sur les points sur lesquels l'auditeur doit porter son regard.

En ce qui concerne l'audit :
  • les règles à respecter pour le choix de l'auditeur, des parties auditées et les durées
  • les plannings, plans et phasage de l'audit
  • les classements des non conformités et écarts
  • les preuves, l'objectivité et l'impartialité
  • la décision de certification du SMSI
  • le suivi en surveillance


Important : les mesures de sécurité

La norme exige de choisir des mesures de sécurité pour réduire les risques.

Ces mesures sont présentées dans l'annexe A et constitue une partie importante à auditer.

Sont donc passées en revue les mesures suivantes, avec la vision de l'auditeur :

  • la politique de sécurité et sa tenue à jour
  • les personnes en charge, le RSSI et autres fonctions
  • la mobilité, l'usage des terminaux mobiles, BYOD
  • la sécurité des RH de l'embauche à l'arrêt des relations
  • la gestion des biens, leur bon usage et classification
  • la sécurité logique, les droits d'accès et mots de passe
  • le chiffrement et les clés utilisées
  • la sécurité physique des bâtiments et des biens à protéger
  • la production et exploitation informatique : les procédures, la protection malware, les sauvegardes et la traçabilité des actions
  • la sécurité du réseau, de ses accès et de sa segmentation
  • le développement et les architectures de sécurité, les données de test et les divers environnements à protéger
  • la sécurité en protection des fournisseurs pouvant accéder aux informations
  • la gestion des incidents de sécurité, détection et action
  • la continuité de la sécurité en cas de panne ou sinistre
  • la conformité réglementaire et légale

Sur tous ces points, des bonnes pratiques sont mentionnées (la norme ISO 27002 donnant des indications uniquement).
Là encore nous insistons sur les points critiques pour un auditeur.

Formateur, pédagogie, supports et examen

Le formateur est un ingénieur associé fondateur du Cabinet.
Il possède une expérience de l'enseignement de la sécurité de l'information en entreprise et à l'Université.
Il a participé à de nombreux audits certifiants ISO 27001 depuis les débuts de la norme.
Il est lui-même certifié ISO 27001 Lead Auditeur (par deux certificateurs)

Les méthodes pédagogiques incluent :
  • des cours magistraux qui forment la trame principale
  • des exercices et études de cas sont proposés et corrigés après un temps de travail
  • des sessions de questions réponse doivent permettre d'éliminer les incompréhensions ou les doutes

L'objectif est d'arriver à :
  • comprendre la norme et son application concrète
  • avoir une attitude d'auditeur : impartial et objectif
  • être capable d'identifier des écarts entre la réalité et les exigences de la norme
  • pouvoir classer ces écarts selon les règles d'audit des systèmes de management
  • savoir rédiger et solliciter le retour des audités

Enfin, il faut aussi réussir l'examen.

Les supports remis incluent :
  • un dossier comportant environ 120 planches par jour est remis aux participants
  • un cahier d'exercices avec un corrigé est distribué

L'examen par le PECB l'après-midi du dernier jour comporte essentiellement une épreuve de questions de type essai.
Le formateur Duquesne Group, par ses recommandations, prépare aussi à l'examen mais n'en connaît pas le contenu.

3250
Home Home    Mail Mail    Print Print    Zoom + Zoom +    Zoom - Zoom -    Share Share

Liste des formations

Liste des formations