Risk Manager - certification ISO 27005 - MG209

Objectifs

Connaître les exigences de la norme ISO 27005 sur la gestion des risques sur la sécurité de l’information Être capable de gérer une appréciation des risques dans le cadre d’un SMSI Savoir établir un processus de gestion des risques conforme à la norme ISO 27005 Préparer et passer la certification Risk Manager ISO 27005 dans de bonnes conditions de succès

Programme

Jour 1 matin
Chapitre 1?: fondamentaux de la gestion des risques
• Le système d’information et la gestion des risques
• Fondamentaux de la gestion des risques (probabilité, impact, calcul, vision des risques)
• La gouvernance, risque, ISO/IEC 27005
Exercice 1 : avantages de la gestion des risques
• Développer un programme de gestion des risques
• Les bonnes pratiques pour commencer
Exercice 2 : ressources nécessaires

Chapitre 2 : la phase de contexte par ISO/IEC 27005
• Présentation de l’ISO/IEC 27005 (comités, normes)
• Terminologie ISO/IEC 27005
• PDCA
• Contexte interne/externe
• Objectifs, valeurs, missions, stratégie
• Établir un SWOT
• Comprendre l’environnement interne
• Identification des exigences
• Identifier les objectifs

Jour 1 après-midi

• Critères de bases, d’acceptation, d’évaluation, d’impact et de probabilité de la gestion des risques
Exercice 3 : sur une étude de cas, établir le contexte (workshop)

Chapitre 3 : phase d’identification des risques
• Description de la phase d’appréciation des risques avec l’identification, l’estimation et l’évaluation)
• Collecter des informations
• Types d’actifs
Exercice 4 : sur une étude de cas, identifier les actifs
• Identifier les actifs, menaces, vulnérabilités, impacts

Jour 2 matin
• Identifier les vulnérabilités et impact
• Valeur et liens entre les actifs
• Les bases de connaissance pour une gestion des risques
Exercice 5 : sur une étude de cas, identifier les menaces

Chapitre 4 : – phase d’estimation et d’évaluation des risques
• Approche qualitative vs quantitative
• Les différentes méthodes de calcul des risques
• Calcul des risques
Exercice 6 : sur une étude de cas, faire une analyse de risque quantitative

Chapitre 5 : phase de traitement et d’acceptation des risques
• Établir un plan de traitement des risques
Exercice 7 : sur une étude de cas, établir un plan de traitement des risques
• Évaluer le risque résiduel
• Acceptation du plan de traitement
• Envoyer les risques résiduels au PCA et la réponse à incident

Chapitre 6 : communication et surveillance
• Établir un plan de communication
• Mettre en place les indicateurs pour une surveillance optimale dans un modèle PDCA

Jour 2 après-midi
Chapitre 7 : la méthode EBIOS 2010 et la phase contexte
• Historique d’EBIOS (Expression des besoins et identification des objectifs de sécurité)
• Alignement d’EBIOS 2010 et l’ISO/IEC 27005
• Définir le cadre de la gestion des risques
• Préparer les métriques
• Identifier les biens
• Éléments dimensionnant d’une étude
• Exemples et application

Jour 3 matin

Chapitre 8 : les évènements redoutés
• Apprécier les évènements redoutés
Chapitre 9 : les scénarios de menaces
• Mécanique de sélection des menaces
• Les différents scénarios de menaces
Chapitre 10 : étude des risques
• Apprécier les risques
• Choix de traitement du risque

Jour 3 après-midi

Chapitre 11 : mesures de sécurité
• Formaliser les mesures de sécurité à mettre en oeuvre
• Mettre en œuvre les mesures de sécurité
TP -mise en place d’une étude de cas et exercice pratique (workshop)

Chapitre 12 : introduction aux prochaines nouveautés ISO/IEC 25005 2022
• Taxonomie
• L’approche workshop
• Logigramme, processus
• Les différents cycles
• L’écosystème et les parties prenantes
• Combinaison avec la prochaine l’ISO/IEC 27005
• Conclusion
Passage de la certification
Le prix et le passage de l’examen sont inclus dans la formation
L’examen (en français) a lieu le dernier jour, à l’issue de la formation et s’effectue en ligne et surveillée, pour une durée moyenne de 2h00.
Examen constitué de 25 questions sur la norme ISO/IEC 27005, 25 questions sur une étude de cas.

Recherches

Tout le site Le catalogue

Liens directs