À l’issue de cette formation, vous serez capable de :
Établir un processus de gestion des risques et son cycle de vie
Manager et réaliser une appréciation des risques dans le cadre d’un SMSI ISO 27001
Maîtriser les recommandations de l’ISO 27005 sur la gestion des risques liés à la sécurité de l’information
Programme
1 - Appréhender les normes relatives à la sécurité de l’information
La famille des ISO 27000 et plus particulièrement l’ISO 27001
Les choix inhérents aux recommandations de l’ISO 27001 pour une gestion des risques SI la plus pertinente
La culture SSI et le vocabulaire associé
2 - Intégrer les spécificités du management des risques
L’identification et la valorisation d’actifs liés à la SI
L’identification du risque, son appréciation et son évaluation
Le traitement du risque au travers de la définition et du déploiement du plan de traitement de risques (PTR)
La notion d’acceptation du risque et de risque résiduel avec évaluation de leur niveau en adaptation avec la politique SMSI et le contexte de l’organisme
3 - S’approprier la norme ISO 27005
La définition et les étapes du processus de gestion des risques en matière de sécurité de l’information
La méthodologie associée pour les étapes principales : identification des risques, analyse, évaluation, traitement, acceptation, surveillance et réexamen, communication
Les différentes approches possibles, les contraintes et l’amélioration du dispositif
Examen de certification
Examen écrit d'une durée de 2h30
Pédagogie
Mises en situations s'appuyant sur une étude de cas fil rouge, dont l'identification et l'évaluation des risques.
prendre connaissance des bonnes pratiques pour la mise en oeuvre et la gestion des mesures de sécurité de l’information, conformes à la norme ISO 27002
préparer le candidat à l’examen de certification ISO 27002
prendre en compte, dans la SSI, les spécificités des systèmes de contrôle industriel (ICS) qui avec la généralisation des interconnexions de réseaux, l’utilisation d’internet et la migration vers les standards TCP/IP, s’intègrent de plus en plus aux architectures globales de l’entreprise
comprendre et expliquer les objectifs et les risques des systèmes SCADA, des systèmes de contrôle distribués et des contrôleurs logiques programmables pour mettre en œuvre les mesures de sécurité adéquates