Introduction au programme de gestion des risques conforme à la norme ISO/CEI 27005
Objectifs et structure de la formation
Concepts du risque
Définition scientifique du risque
Le risque et les statistiques
Le risque et les opportunités
La perception du risque
Le risque lié à la sécurité de l’information
Connaître le cadre normatif et réglementaire
Norme et méthodologie
ISO/IEC 31000 et ISO/IEC 310010
Normes de la famille ISO/IEC 27000
Mettre en oeuvre un programme de management du risque
Mandat et engagement de la direction
Responsable de la gestion du risque
Responsabilités des principales parties prenantes
Mesures de responsabilisation
Politique de la gestion du risque
Processus de la gestion du risque
Approche et méthodologie d’appréciation du risque
Planification des activités de gestion du risque et fourniture des ressources
Établir le contexte mission, objectifs, valeurs, stratégies
Établissement du contexte externe
Établissement du contexte interne
Identification et analyse des parties prenantes
Identification et analyse des exigences
Détermination des objectifs
Détermination des critères de base
Définition du domaine d’application et limites
Identifier les risques
Techniques de collecte d’information
Identification des actifs
Identification des menaces
Identification des mesures existantes
Identification des vulnérabilités
Identification des impacts
Analyser et évaluer les risques
Appréciation des conséquences
Appréciation de la vraisemblance de l’incident
Appréciation des niveaux des risques
Évaluation des risques
Exemple d’appréciation des risques
Apprécier les risques avec une méthode quantitative
Notion de ROSI
Calcul de la perte annuelle anticipée
Calcul de la valeur d’une mesure de sécurité
Politiques spécifiques
Processus de management de la politique
Traiter les risques
Processus de traitement des risques
Option de traitement des risques
Plan de traitement des risques
Apprécier les risques et gérer les risques résiduels
Acceptation des risques
Approbation des risques résiduels
Gestion des risques résiduels
Communication sur la gestion des risques
Communiquer sur les risques
Objectifs de communication sur la gestion des risques
Communication et perception des risques
Plan de communication
Surveiller les risques
Surveillance et revue des facteurs de risque
Surveillance et revue de la gestion des risque
Amélioration continue de la gestion des risques
Mesurer le niveau de maturité de la gestion des risques
Enregistrement des décisions et des plans de communications
Découvrir la méthode OCTAVE
Présentation générale
Méthodologies OCTAVE
OCTAVE Allegro Roadmap
Découvrir la méthode MEHARI
Présentation générale
L’approche MEHARI
Analyse des enjeux et classification
Évaluation des services de sécurité
Analyse des risques
Développement des plans de sécurité
Découvrir la méthode EBIOS
Présentation générale
Les 5 modules d’EBIOS
Établissement du contexte
Étude d’événements redoutés
Étude des scénarios des menaces
Étude des risques
Étude des mesures de sécurité
Examen de certification
Révision des concepts en vue de la certification
Examen blanc
Passage de l’examen écrit de certification en français qui consiste à répondre à 12 questions en 2 heures
Un score minimum de 70% est exigé pour réussir l’examen
Il est nécessaire de signer le code de déontologie du PECB afin d’obtenir la certification
Les candidats sont autorisés à utiliser non seulement les supports de cours mais aussi la norme ISO/IEC 27005
En cas d’échec les candidats bénéficient d’une seconde chance pour passer l’examen dans les 12 mois suivant la première tentative
L’examen couvre les domaines de compétences suivants : Domaine 1 : Principes et concepts fondamentaux relatifs à la gestion des risques liés à la sécurité de l’information – Domaine 2 : Mettre en oeuvre un programme de gestion des risques liés à la sécurité de l’information – Domaine 3 : Processus et cadre de gestion des risques liés à la sécurité de l’information conformes à la norme ISO/CEI 27005 – Domaine 4 : Autres méthodes d’appréciation des risques de la sécurité de l’information
ISO06 - ISO 27005 RISK MANAGER
Référence ISO06
Durée 3 days
Modalité Formations catalogue
2200 €
Prerequistes
Connaitre le guide d’hygiène sécurité de l’ANSSI
Description
Avec la généralisation des échanges sur Internet, les risques en matière de sécurité de l’information représentent une menace considérable pour les entreprises du fait des possibles préjudices financiers ou de la perte de confiance des clients. L’un des éléments clés dans la prévention des fraudes en ligne, vols d’identité ou autres détériorations de sites Web est la gestion et l’évaluation des risques couverte par la nouvelle norme internationale ISO/CEI 27005. La formation "ISO/CEI 27005 Risk Manager" permet de développer les compétences pour maîtriser les processus liés à tous les actifs pertinents pour la sécurité de l’information en utilisant la norme ISO/CEI 27005 comme cadre de référence. Ce programme qui s'inscrit parfaitement dans le processus de mise en oeuvre du cadre SMSI selon la norme ISO/CEI 27001 intègre également une présentation de différentes méthodes d’appréciation des risques telles qu’OCTAVE, EBIOS, MEHARI et la méthodologie harmonisée d'EMR. Après avoir assimilé l’ensemble des concepts relatifs à la gestion des risques de la sécurité d’information conforme à la norme ISO/CEI 27005, les participants se présenteront à l’examen "ISO/CEI 27005 Risk Manager" qui attestera de leurs capacités à apprécier les risques de la sécurité de l’information et à les gérer.
