Implémenter et gérer un projet SMSI-ISO 27001
« Implémenter et gérer un projet SMSI-ISO 27001 »: Les secrets SMSI
Vous voulez commencer un projet SMSI mais vous n’avez pas d’idée sur la démarche, vous avez encore des questions sans réponse, la démarche est encore floue, vous voulez avoir une estimation sur le projet, ce séminaire est pour vous. Ce séminaire contient aussi un retour d’expérience des chefs de projets SMSI des entités déjà certifiées
Objet :
La norme internationale ISO/CEI 27001 liée à la sécurité de l'information décrit, sous forme d'exigences, les bonnes pratiques à mettre en place pour qu'une organisation puisse maîtriser efficacement les risques liés à l'information. Ce séminaire vous présentera dans un premier temps l'ensemble des normes ISO traitant de la sécurité du système d'information puis vous apportera les éléments nécessaires pour mettre en place un système de management (SMSI) de la sécurité de l'information.
Population :
Futurs "audités", RSSI, Risk Managers, directeurs ou responsables informatiques, ingénieurs ou correspondants Sécurité, chefs de projets, auditeurs internes et externes.
Durée: 2 jours
Lieu: Hôtel The Penthouse, Ennasr 2.
Plan de la formation :
1. Introduction
• Rappels. Terminologie ISO 27000 et ISO Guide 73.
• Définitions : menace, vulnérabilité, risque, etc….
• La notion de risque (potentialité, impact, gravité).
• La classification CID (Confidentialité, Intégrité, Disponibilité).
• La gestion du risque.
Intervenant: Anis GHARBI (Intelligent Security IT)
2. Les normes ISO 2700x
• Historique des normes de sécurité vues par l'ISO.
• Les normes actuelles (ISO 27001, 27002).
• Les normes complémentaires (ISO 27005, 27004, 27003...).
Intervenant: Anis GHARBI (Intelligent Security IT)
3. La norme ISO 27001:2013
• Définition d'un Système de Management de la Sécurité des Systèmes (SMSI).
• Objectifs à atteindre par votre SMSI.
• L'approche "amélioration continue" comme principe fondateur, le modèle PDCA (roue de Deming).
• La norme ISO 27001 intégrée à une démarche qualité type SMQ.
• Détails des phases Plan-Do-Check-Act.
• Definition du périmètre SMSI
• Déclaration d’applicabilité (DdA) ou SoA (Statement of Applicability).
• Les recommandations de l'ISO 27001 pour le management des risques.
• De l'importance de l'appréciation des risques. Choix d'une méthode type ISO 27005:2011.
• L'adoption de mesures de sécurité techniques et organisationnelles efficientes.
• Les audits internes obligatoires du SMSI. Construction d'un programme.
• L'amélioration SMSI. La mise en œuvre d'actions correctives et préventives.
• Les mesures et contre-mesures des actions correctives et préventives.
• L'annexe A en lien avec la norme 27002.
Intervenant: Anis GHARBI (Intelligent Security IT)
4. Les bonnes pratiques, référentiel ISO 27002:2013
• Objectifs de sécurité : Disponibilité, Intégrité et Confidentialité.
• Structuration en domaine/chapitres (niveau 1), objectifs de contrôles (niveau 2) et contrôles (niveau 3).
• Les nouvelles bonnes pratiques ISO 27002:2013, les mesures supprimées de la norme ISO 27001:2005. Les modifications.
• La norme ISO 27002:2013 : les 14 domaines et 113 bonnes pratiques.
• Exemples d'application du référentiel à son entreprise : les mesures de sécurité clés indispensables.
Intervenant: Anis GHARBI (Intelligent Security IT)
5. La mise en œuvre de la sécurité dans un projet SMSI
• Des spécifications sécurité à la recette sécurité.
• Comment respecter la PSSI et les exigences de sécurité?
• De l'analyse de risques à la construction de la déclaration d'applicabilité.
• Les normes ISO 27003, comme aide à la mise en œuvre.
• Intégration de mesures de sécurité au sein des développements spécifiques.
• Les règles à respecter pour l'externalisation.
• Assurer un suivi du projet dans sa mise en œuvre puis sa mise en exploitation.
• Les rendez-vous "Sécurité" avant la recette.
• Intégrer le cycle PDCA dans le cycle de vie du projet.
• La recette du projet ; comment la réaliser : test d'intrusion et/ou audit technique ?
• Préparer les indicateurs. L'amélioration continue.
• Mettre en place un tableau de bord. Exemples.
• La gestion des vulnérabilités dans un SMSI : scans réguliers, Patch Management...
Intervenant: Anis GHARBI (Intelligent Security IT)
6. ISO 27001 : Le retour d’expérience des entités certifiés
• La méthodologie de management de projet de mise en place d’un SMSI et de la certification ISO 27001 ;
• L’apport des prestataires de service accompagnateurs ;
• Le pré-requis à la certification ;
• Les difficultés rencontrées lors de la mise en place du projet ;
• Les facteurs clés de succès ;
• Les couts estimatifs du projet ;
• La certification ISO 27001;
Intervenants: Chef de Projet des entités déjà certifiées
7. Les audits de sécurité ISO 19011:2011
• Processus continu et complet. Etapes, priorités.
• Les catégories d'audits, organisationnel, technique...
• L'audit interne, externe, tierce partie, choisir son auditeur.
• Le déroulement type ISO de l'audit, les étapes clés.
• Les objectifs d'audit, la qualité d'un audit.
• La démarche d'amélioration pour l'audit.
• Les qualités des auditeurs, leur évaluation.
• L'audit organisationnel : démarche, méthodes.
• Apports comparés, les implications humaines.
Intervenant : Anis GHARBI (Intelligent Security IT)
8. La certification ISO de la sécurité du SI - La relation auditeur-audité
• Intérêt de cette démarche, la recherche du "label".
• Les critères de choix du périmètre. Domaine d'application. Implication des parties prenantes.
• Les enjeux économiques escomptés.
• Organismes certificateurs, choix en Tunisie et en europe.
• Démarche d'audit, étapes et charges de travail.
• Coûts récurrents et non récurrents de la certification.
• Dossier de certification SMSI
Intervenants: Organismes de certification
Cyber Security- IT Risk engineer chez BNP Paribas Leasing Solutions
6 ansPrix de la session
Ingénieur Cloud et Devops | SRE | Az-104
6 anscomment on peut participer ??
CEO chez INTELLIGENT SECURITY IT, PLA-LI ISO27001, LI ISO22301, RM ISO27005, CEH, CCSK, ISO20000, PECB Trainer, GDPR. LI ISO 42100, Chief Information Security Officer , Lead Cybersecurity Manager, LI ISO 9001, ISO 215002
6 ansdu 08 au 09/02/2018 hôtel ThePenthouse ennasr2.
Cybersecurity and education passionate |Founder of Pirate Academy | Mum and wife 👨👩👧👦
6 ansBonjour c'est pour quelle date SVP?