ISO 27005 – Risk Manager
ISO 27005 – Risk Manager
Avec la généralisation des échanges sur Internet, les risques en matière de sécurité de l’information sont chaque jour plus importants.
Objectifs de cette formation ISO 27005 - Risk Manager
- Comprendre la relation entre la gestion des risques de la sécurité de l’information et les mesures de sécurité
- Comprendre les concepts, approches, méthodes et techniques permettant de mettre en place un processus de gestion des risques efficace conforme à la norme ISO/CEI 27005
- Savoir interpréter les exigences de la norme ISO/CEI 27001 dans le cadre du management du risque de la sécurité de l'information
- Être en mesure de conseiller efficacement les organisations sur les meilleures pratiques en matière de gestion des risques liés à la sécurité de l'information
Public
- Chefs de projet
- Consultants
- Architectes techniques
- Toute personne souhaitant conduire des audits de conformité ISO 27001
- Toute personne responsable du maintien de la conformité aux exigences du SMSI
Pré-requis
- Connaitre le guide d’hygiène sécurité de l’ANSSI
Programme détaillé
- INTRODUCTION AU PROGRAMME DE GESTION DES RISQUES CONFORME À LA NORME ISO/CEI 27005
- Objectifs et structure de la formation
- Concepts du risque
- Définition scientifique du risque
- Le risque et les statistiques
- Le risque et les opportunités
- La perception du risque
- Le risque lié à la sécurité de l’information
- CONNAÎTRE LE CADRE NORMATIF ET RÉGLEMENTAIRE
- Norme et méthodologie
- ISO/IEC 31000 et ISO/IEC 31010
- Normes de la famille ISO/IEC 27000
- METTRE EN OEUVRE UN PROGRAMME DE MANAGEMENT DU RISQUE
- Mandat et engagement de la direction
- Responsable de la gestion du risque
- Responsabilités des principales parties prenantes
- Mesures de responsabilisation
- Politique de la gestion du risque
- Processus de la gestion du risque
- Approche et méthodologie d’appréciation du risque
- Planification des activités de gestion du risque et fourniture des ressources
- ÉTABLIR LE CONTEXTE MISSION, OBJECTIFS, VALEURS, STRATÉGIES
- Établissement du contexte externe
- Établissement du contexte interne
- Identification et analyse des parties prenantes
- Identification et analyse des exigences
- Détermination des objectifs
- Détermination des critères de base
- Définition du domaine d’application et limites
- IDENTIFIER LES RISQUES
- Techniques de collecte d’information
- Identification des actifs, des menaces, des mesures existantes, des vulnérabilités et des impacts
- ANALYSER ET ÉVALUER LES RISQUES
- Appréciation des conséquences
- Appréciation de la vraisemblance de l’incident
- Appréciation des niveaux des risques
- Évaluation des risques
- Exemple d’appréciation des risques
- APPRÉCIER LES RISQUES AVEC UNE MÉTHODE QUANTITATIVE
- Notion de ROSI
- Calcul de la perte annuelle anticipée
- Calcul de la valeur d’une mesure de sécurité
- Politiques spécifiques
- Processus de management de la politique
- TRAITER LES RISQUES
- Processus de traitement des risques
- Option de traitement des risques
- Plan de traitement des risques
- APPRÉCIER LES RISQUES ET GÉRER LES RISQUES RÉSIDUELS
- Acceptation des risques
- Approbation des risques résiduels
- Gestion des risques résiduels
- Communication sur la gestion des risques
- COMMUNIQUER SUR LES RISQUES
- Objectifs de communication sur la gestion des risques
- Communication et perception des risques
- Plan de communication
- SURVEILLER LES RISQUES
- Surveillance et revue des facteurs de risque et de la gestion des risques
- Amélioration continue de la gestion des risques
- Mesurer le niveau de maturité de la gestion des risques
- Enregistrement des décisions et des plans de communications
- DÉCOUVRIR LA MÉTHODE OCTAVE
- Méthodologies OCTAVE
- OCTAVE Allegro Roadmap
- DÉCOUVRIR LA MÉTHODE MEHARI
- L’approche MEHARI
- Analyse des enjeux et classification
- Évaluation des services de sécurité
- Analyse des risques
- Développement des plans de sécurité
- DÉCOUVRIR LA MÉTHODE EBIOS
- Les 5 modules d’EBIOS
- Établissement du contexte
- Étude d’événements redoutés, des scénarios des menaces, des risques et des mesures de sécurité
- PASSAGE DE L'EXAMEN DE CERTIFICATION "PECB CERTIFIED ISO/CEI 27005 RISK MANAGER" (EN LIGNE APRÈS LA FORMATION)
- Révision des concepts en vue de la certification et examen blanc
- Un voucher permettant le passage du test de certification est adressé à l'issue de la session
- Chaque participant doit créer son profil sur l’espace PECB puis, une fois le profil validé, choisir un créneau pour passer l’examen et télécharger l’application PECB Exams
- Le jour de l’examen ils doivent se connecter 30 minutes avant le début de la session
- Passage de l'examen de certification en français en 2 heures
- Un score minimum de 70% est exigé pour réussir l’examen
- Il est nécessaire de signer le code de déontologie du PECB afin d’obtenir la certification
- Les candidats sont autorisés à utiliser les supports de cours et la norme ISO/IEC 27005
- En cas d’échec, ils bénéficient d’une seconde chance pour passer l’examen dans les 12 mois suivant la première tentative
- L’examen couvre les domaines de compétences suivants : Domaine 1 : Principes et concepts fondamentaux relatifs à la gestion des risques liés à la sécurité de l’information - Domaine 2 : Mettre en oeuvre un programme de gestion des risques liés à la sécurité de l’information - Domaine 3 : Processus et cadre de gestion des risques liés à la sécurité de l’information conformes à la norme ISO/CEI 27005 - Domaine 4 : Autres méthodes d’appréciation des risques de la sécurité de l’information
Les plus de cette formation ISO 27005 - Risk Manager
- Les nombreux retours d'expériences de consultants expérimentés permettent d'illustrer les concepts et d'accroître la pertinence des réponses fournies.
- Un programme étudié pour permettre aux participants de préparer le passage de la certification dans les meilleures conditions.
- Répartition théorie/pratique : 60%/40%.
- Cette formation se compose d’une alternance d’apports théoriques, de travaux pratiques, de démonstrations, de phases d’échanges entre participants et de synthèses de la part du formateur.
- Le passage de l'examen est compris dans le prix de la formation.
