JOUR 1 : Introduction à la norme ISO/IEC 27001 : 2022 et initiation d’un SMSI
- Objectifs et structure de la formation
• Introduction
• Informations générales
• Objectifs d’apprentissage
• Avantages d’ISO/IEC 27001:2022
- Système de management de la sécurité de l’information (SMSI)
• Définition de système de management
• Normes relatives aux systèmes de management
• Systèmes de management intégrés
• Définition d’un SMSI
• Approche processus
• Vue d’ensemble – articles 4 à 10
• Vue d’ensemble – Annexe A
- Concepts et principes fondamentaux de la sécurité de l’information
• Information et actif
• Sécurité de l’information
• Confidentialité, intégrité et disponibilité
• Vulnérabilité, menace et impact
• Risque de sécurité de l’information
• Classification des mesures de sécurité
- Initiation de la mise en œuvre du SMSI
• Définition de l’approche de la mise en œuvre du SMSI
• Approches de mise en œuvre proposées
• Application des approches de mise en œuvre proposées
• Choisir un cadre méthodologique pour gérer la mise en œuvre d’un SMSI
• Approche et méthodologie
• Alignement sur les bonnes pratiques
- Compréhension de l’organisation et de son contexte
• Mission, objectifs, valeurs et stratégies de l’organisation
• Objectifs du SMSI
• Définition préliminaire du périmètre
• Environnement interne et externe
• Principaux processus et activités
• Parties intéressées
• Exigences métier
- Domaine d’application du SMSI
• Limites du SMSI
• Limites organisationnelles
• Limites de la sécurité de l’information
• Limites physiques
• Énoncé du périmètre du SMSI
JOUR 2 : Planification de la mise en œuvre d’un SMS
- Leadership et approbation du projet
• Étude de faisabilité
• Exigences relatives aux ressources
• Plan du projet SMSI
• Équipe de projet SMSI
• Approbation de la direction
- Structure organisationnelle
• Structure organisationnelle
• Coordinateur de la sécurité de l’information
• Rôles et responsabilités des parties intéressées
• Rôles et responsabilités des principaux comités
- Analyse du système existant
• Détermination de l’état actuel
• Réalisation de l’analyse des écarts
• Établissement des objectifs de maturité
• Publication d’un rapport d’analyse des écarts
- Politique de sécurité de l’information
• Types de politiques
• Modèles de politiques
• Politique de sécurité de l’information
• Politiques de sécurité spécifiques
• Approbation de la politique de management
• Publication et diffusion
• Sessions de formation et de sensibilisation
• Contrôle, évaluation et revue
- Gestion des risques
• ISO 31000
• ISO/IEC 27005
• Établissement du contexte
• Identification des risques
• Analyse des risques
• Évaluation des risques
• Traitement des risques
• Communication et consultation
• Enregistrement et élaboration de rapports
• Surveillance et revue
- Déclaration d’applicabilité
• Rédaction de la Déclaration d’applicabilité
• Approbation de la direction
• Revue et sélection des mesures de sécurité de l’information applicables
• Justification des mesures de sécurité sélectionnées
• Justification des mesures de sécurité exclues
JOUR 3 : Mise en œuvre du SMSI
- Gestion des informations documentées
• Valeur et types d’informations documentées
• Liste maîtresse des informations documentées
• Création de modèles
• Processus de gestion de l’information documentée
• Mise en œuvre d’un système de management de l’information documentée
• Gestion des enregistrements
- Sélection et conception des mesures
• Architecture de sécurité de l’organisation
• Préparation de la mise en œuvre des mesures
• Conception et description des mesures
- Mise en œuvre des mesures
• Mise en œuvre des processus et des mesures de sécurité
• Introduction des mesures de l’Annexe A
- Tendances et technologies
• Mégadonnées (Big data)
• Les trois V des mégadonnées
• Intelligence artificielle
• Apprentissage automatique (Machine learning)
• Apprentissage automatique (Machine learning)
• Externalisation des opérations
• Impact des nouvelles technologies en sécurité de l’information
- Communication
• Principes d’une stratégie de communication efficace
• Processus de communication de sécurité de l’information
• Définition des objectifs de communication
• Identification des parties intéressées
• Planification des activités de communication
• Réalisation d’une activité de communication
• Évaluation de la communication
- Compétence et sensibilisation
• Compétences et développement du personnel
• Différence entre formation, sensibilisation et communication
• Détermination des besoins en compétences
• Planification des activités de développement des compétences
• Définition du type et de la structure du programme de développement des compétences
• Programmes de formation et de sensibilisation
• Organisation des formations
• Évaluation des résultats des formations
- Gestion des opérations de sécurité
• Planification de la gestion du changement
• Gestion des opérations
• Gestion des ressources
• ISO/IEC 27035-1 et ISO/IEC 27035-2
• ISO/IEC 27032
• Politique de gestion des incidents en sécurité de l’information
• Processus et procédure de gestion des incidents
• Équipe de réponse aux incidents
• Mesures de sécurité pour la gestion des incidents
• Processus forensiques
• Enregistrement des incidents de sécurité de l’information
• Mesure et revue du processus de gestion des incidents
JOUR 4 : Suivi, amélioration continue et préparation à l’audit de certification
- Suivi, mesure, analyse et évaluation
• Détermination des objectifs de mesure
• Définition de ce qui doit être surveillé et mesuré
• Établissement des indicateurs de performance du SMSI
• Rapport de résultats
- Audit interne
• Qu’est-ce qu’un audit ?
• Types d’audits
• Création d’un programme d’audit interne
• Désignation d’une personne responsable
• Établissement de l’indépendance, de l’objectivité et de l’impartialité
• Planification des activités d’audit
• Réalisation des activités d’audit
• Suivi des non-conformités
- Revue de direction
• Préparation d’une revue de direction
• Conduite d’une revue de direction
• Résultats de la revue de direction
• Activités de suivi de la revue de direction
- Traitement des non-conformités
• Processus d’analyse des causes fondamentales
• Outils d’analyse des causes fondamentales
• Procédure d’actions correctives
• Procédure d’actions préventives
- Amélioration continue
• Processus de surveillance continue
• Maintien et amélioration du SMSI
• Mise à jour continue des informations documentées
• Documentation des améliorations
- Préparation à l’audit de certification
• Sélection de l’organisme de certification
• Préparation à l’audit de certification
• Étape 1 de l’audit
• Étape 2 de l’audit
• Suivi d’audit
• Décision de certification
- Clôture de la formation
• Schéma de certification de PECB
• Processus de certification PECB
• Autres services PECB
• Autres formations et certifications PECB
JOUR 5 : Préparation et Passage de la certification
- L’examen couvre les domaines de compétences suivants :
• Domaine 1 : Principes et concepts fondamentaux du Système de management de la sécurité de l’information
• Domaine 2 : Système de management de la sécuritén de l’information
• Domaine 3 : Planification de la mise en œuvre d’un SMSI selon la norme ISO/CEI 27001:2022
• Domaine 4 : Mise en œuvre d’un SMSI conforme à la la norme ISO/CEI 27001:2022
• Domaine 5 : Évaluation de la performance surveillance et mesure d’un SMSI selon la norme ISO/CEI 27001;2022
• Domaine 6 : Amélioration continue d’un SMSI selon la norme ISO/CEI 27001;2022
• Domaine 7 : Préparation de l’audit de certification d’un SMSI
- CERTIFICATION PREPAREE
L’examen PECB Certified ISO/CEI 27001 Lead Implementer remplit les exigences relatives au programme
d’examen et de certification de PECB. Le taux de réussite de cette certification en 2022 est de 89%.