
Objectifs
- Comprendre ce qu'est un "système de management" ISO et la norme ISO 27001:2013 en particulier.
- Déterminer ce que la norme ISO 27001 exige dans votre contexte.
- Passer en revue les différentes étapes du "Plan", "Do", "Check" et "Act".
- Savoir doser correctement ce qui fait le coeur du SMSI : l'appréciation des risques et le traitement des risques.
- Pouvoir élaborer une Déclaration d'Applicabilité correcte et efficace.
- Lister la documentation à produire ou récupérer : Politique générale, politiques sur certains points particuliers.
- Déterminer ce qu'il faut mettre en place ou documenter en matière de gouvernance : indicateurs, audit et revues.
- Comprendre ce qui est demandé lors de l'audit de certification.
- Quantifier et qualifier le travail à réaliser et le planning possible.
Le public concerné
Ce cours vise particulièrement les RSSI chargés d'obtenir une certification ISO 27001 pour leur entreprise.
Il peut par ailleurs intéresser :
Il peut par ailleurs intéresser :
- Directions informatiques, Directions des systèmes d’information
- Directions des Etudes et de la Production
- Directions métiers concernées par la sécurité de leurs informations
- Responsables de la sécurité de l’information
- Administrateurs de systèmes
- Responsables Continuité
- Responsables Qualité, Méthodes et Audit
- et, plus généralement, toutes les personnes intervenant dans le processus de sécurisation du système d’information, en maîtrise d’ouvrage ou en maîtrise d’œuvre.
Le programme en deux jours
Contexte général
Le système de management au cœur du sujet : les points obligatoires de la norme ISO 27001
Les bonnes pratiques de la sécurité : les mesures à choisir (version 2013)
Les 114 mesures de la norme sont passés en revue selon ses 14 chapitres :
Il faut choisir dans cette liste ce qui est nécessaire pour votre entreprise. Ni trop, ni trop peu.
Ces présentations sont faites par des spécialistes de l'implémentation et de l'audit de SMSI.
Elles sont toujours enrichies d'exemples concrets et de recommandations pragmatiques.
- La sécurité de l'information en entreprise
- Différence entre sécurité et système de management
- Les normes à disposition : ISO 2700X, leurs particularités
- Que peut-on certifier ?
- En quoi se distingue un audit de certification ?
Le système de management au cœur du sujet : les points obligatoires de la norme ISO 27001
- Le contexte de l'entreprise, son périmètre inclus, ses parties intéressées
- Le leadership et l'engagement de la direction, rôles et responsabilités
- La planification : appréciation et traitements des risques, objectifs et plans d'action
- Le support : les compétences, documentation,...
- La mise en place des processus nécessaires et leur fonctionnement
- Les audits internes, indicateurs et revues de direction
- L'amélioration continue et la réaction sur les non-conformités
Les bonnes pratiques de la sécurité : les mesures à choisir (version 2013)
Les 114 mesures de la norme sont passés en revue selon ses 14 chapitres :
- Politique de sécurité
- Organisation de la sécurité
- Sécurité et RH
- La gestion des actifs
- Le contrôle d'accès
- La cryptographie
- La sécurité physique
- La sécurité en exploitation
- La sécurité des télécom
- Acquisition, développement et maintenance
- Relations avec les fournisseurs
- Gestion des incidents de sécurité
- Les aspects sécurité de la Continuité d'activité
- La conformité
Il faut choisir dans cette liste ce qui est nécessaire pour votre entreprise. Ni trop, ni trop peu.
Ces présentations sont faites par des spécialistes de l'implémentation et de l'audit de SMSI.
Elles sont toujours enrichies d'exemples concrets et de recommandations pragmatiques.
Votre objectif : la certification est le nôtre
Il n'est pas nécessaire d'avoir atteint le "summum de la sécurité" pour chercher à faire certifier un Système de Management.
En effet, la certification ne porte pas sur le "niveau de sécurité" mais sur la manière de l'obtenir et de l'améliorer. Le SMSI est en effet "une machine à améliorer et adapter la sécurité".
Cette dernière partie du cours met en lumière les "points durs" que l'auditeur de certification recherchera dans votre implémentation.
Nous ne perdons pas de vue cet objectif : on ne peut faire certifier qu'un SMSI qui a commencé à marcher et qui a démontré un début d'efficacité.
Il faut donc collecter des preuves, (dé)montrer des améliorations, prouver une prise de conscience mais aussi une bonne réactivité face aux risques.
Pour cela, tous les comités sécurité ou autre Copil sont utiles et ce d'autant plus qu'ils existent depuis un certain temps. Un "rythme de vie" animé par le RSSI est indispensable à faire reconnaître et à documenter.
Nous souhaitons mettre l'accent sur tous ces éléments qui existent et qui sont trop souvent ignorés.
L'objectif étant de mettre le maximum de "bonnes choses" face à l'auditeur.
Ce cours est illustré d'exemples et commenté par notre spécialiste qui a une expérience concrète sur le terrain en accompagnement de sociétés voulant se faire certifier.
1460
En effet, la certification ne porte pas sur le "niveau de sécurité" mais sur la manière de l'obtenir et de l'améliorer. Le SMSI est en effet "une machine à améliorer et adapter la sécurité".
Cette dernière partie du cours met en lumière les "points durs" que l'auditeur de certification recherchera dans votre implémentation.
Nous ne perdons pas de vue cet objectif : on ne peut faire certifier qu'un SMSI qui a commencé à marcher et qui a démontré un début d'efficacité.
Il faut donc collecter des preuves, (dé)montrer des améliorations, prouver une prise de conscience mais aussi une bonne réactivité face aux risques.
Pour cela, tous les comités sécurité ou autre Copil sont utiles et ce d'autant plus qu'ils existent depuis un certain temps. Un "rythme de vie" animé par le RSSI est indispensable à faire reconnaître et à documenter.
Nous souhaitons mettre l'accent sur tous ces éléments qui existent et qui sont trop souvent ignorés.
L'objectif étant de mettre le maximum de "bonnes choses" face à l'auditeur.
Ce cours est illustré d'exemples et commenté par notre spécialiste qui a une expérience concrète sur le terrain en accompagnement de sociétés voulant se faire certifier.
1460
Le formateur
Le formateur-concepteur de ce cours est un associé du Cabinet Duquesne, praticien de la sécurité (certifié auditeur ISO 27001 LSTI) et de la continuité (certifié implémenteur ISO 22301 LSTI).
Ingénieur Centralien, il enseigne aussi la Sécurité de l'Information à la faculté de Tours.
Pour pré-réserver :
Ingénieur Centralien, il enseigne aussi la Sécurité de l'Information à la faculté de Tours.
Pour pré-réserver :