Avec la généralisation des échanges sur Internet et les nouveaux canaux de communication à l’ère du numérique, les risques en matière de sécurité de l’information représentent une menace considérable pour les entreprises du fait des possibles préjudices financiers ou de la perte de confiance des clients. Des éléments clés dans la prévention des fraudes en ligne, vols d’identité ou autres détériorations, sont la gestion et l’évaluation des risques.
La norme ISO 27005 vient en appui des concepts généraux énoncés dans l’ISO 27001, pour aider à la mise en place de la sécurité de l’information avec une approche basée sur la gestion des risques.
La formation ISO 27005 Risk Manager vous introduit à la gestion des risques liés à la sécurité de l’information. Vous abordez les 8 processus de la gestion des risques et leurs interactions. De plus, vous découvrirez les principales mesures de sécurité préconisées par la norme, ainsi que son articulation avec les autres normes de la famille ISO 2700x.
Objectifs de la formation
Savoir implémenter la norme ISO 27005 et autres méthodes
Comprendre le processus de gestion des risques et son cycle de vie
Être en mesure de réaliser une appréciation des risques pour définir et implémenter les politiques adaptées à l’environnement de l’entreprise
Se préparer à l’examen ISO 27005 Risk Manager
Programme détaillé
+
Durée :
3 jours
Prérequis
Connaissances de base en sécurité des Systèmes d’Information.
Public concerné
Directeur ou Responsable des Systèmes d’Information
RSSI, architectes de sécurité
Risk Manager
MOE, MOA
Chefs de projet sécurité IT
Auditeurs externes, Auditeur ou Manager de la qualité
1. Introduction et vue d’ensemble
Présentation du contenu de la formation
Objectifs pédagogiques et certification
Systèmes de Management ou référentiel de bonnes pratiques ?
Introduction à la série de normes ISO 2700X
Contenu de la norme ISO 27005
2. Information et sécurité de l’information
Introduction à la sécurité de l’information
Information et système d’information
La valeur de l’information
Les critères de fiabilité de l’information
3. Risques, vulnérabilité, menaces
Introduction aux concepts de base
Les activités de gestion du risque: analyse, évaluation, traitement, stratégie, gestion
Typologie de menaces, impacts et mesures de sécurité
Introduction aux menaces informatiques
4. Vocabulaire de la gestion du risque
Identification et valorisation d’actifs
Menaces et vulnérabilité
Identification du risque et formulation sous forme de scénario
Estimation du risque
Vraisemblance et conséquence probable d’un risque
Evaluation du risque
Les différents traitements d’un risque
Acceptation des risques
Notion de risque résiduel
5. La démarche de la gestion du risque selon ISO 27005
Processus de gestion du risque
Cycle de vie du processus et amélioration continue
Etablissement du contexte
Identification des risques
Evaluation et traitement des risques
Acceptation des risques, surveillance et réexamen des risques
