• FORMATION \ RÉFÉRENCE ISORM

Formation -ISO 27005:2011 Risk Manager, préparation à la certification analyse de risques

Ce séminaire, basé en partie sur la norme ISO/CEI 27005:2011, permet aux stagiaires d'acquérir les bases théoriques et pratiques de la gestion des risques liés à la sécurité de l'information. Elle prépare efficacement les candidats à la certification ISO 27005 Risk Manager à partir d'études de cas.



Le programme de la formation

Introduction
  • Terminologie ISO 27000 et ISO Guide 73.
  • Définitions de la Menace Vulnérabilité Risques.
  • Principe général de la sécurité ISO 13335.
  • La classification CAID.
  • Rappel des contraintes réglementaires et normatives (SOX, COBIT, ISO 27001...).
  • Le rôle du RSSI versus le Risk Manager.
  • La future norme 31000, de l'intérêt de la norme "chapeau".
Le concept "risque"
  • Identification et classification des risques.
  • Risques opérationnels, physiques et logiques.
  • Les conséquences du risque (financier, juridique, humain...).
  • La gestion du risque (prévention, protection, évitement de risque, transfert).
  • Assurabilité d'un risque, calcul financier du transfert à l'assurance.
  • Les rôles complémentaires du RSSI et du Risk Manager/DAF.
L'analyse de risques selon l'ISO
  • La méthode de la norme 27001:2013.
  • L'intégration au processus PDCA.
  • La création en phase Plan de la section 4.
  • La norme 27005:2011 : Information Security Risk Management.
  • La mise en oeuvre d'un processus PDCA de management des risques.
  • Les étapes de l'analyse de risques.
  • La préparation de la déclaration d'applicabilité (SoA).
Les méthodes d'analyse de risques
  • Les méthodes françaises.
  • EBIOS 2010.
  • Etude du contexte, des scénarios de menaces, des événements redoutés, des risques, des mesures de sécurité.
  • EBIOS dans une démarche ISO PDCA de type SMSI 27001.
  • MEHARI 2010.
  • L'approche proposée par le CLUSIF.
  • Elaboration d'un plan d'actions basé les services de sécurité.
  • Alignement MEHARI 27005 et référentiel ISO 27002.
  • CRAMM, OCTAVE...
  • Historique, développement, présence dans le monde.
  • Comparaisons techniques.
Choix d'une méthode
  • Comment choisir la meilleure méthode ?.
  • Les bases de connaissances (menaces, risques...).
  • La convergence vers l'ISO, la nécessaire mise à jour.
  • Etre ou ne pas être "ISO spirit" : les contraintes du modèle PDCA.
Conclusion
  • Une méthode globale ou une méthode par projet.
  • Le vrai coût d'une analyse de risques.
Formation dans nos centres
Référence : ISORM
Durée : 3 jours (21h)

Prix Contacter nous

Aucune session est programmée


Contacter le responsable formation
Formation dans votre entreprise
Référence : ISORM
Durée : 3 jours

Forfait intra* Contacter nous

(Prix pour un groupe de 12 personnes max)

Demander un devis (*) En savoir plus sur le forfait Intra
Formation à la demande

Cette thématique vous intéresse ? Nos experts conçoivent votre formation sur-mesure !

Nous Contacter


À qui s'adresse cette formation ?

* Pour qui

RSSI ou correspondants Sécurité, architectes de sécurité, directeurs ou responsables informatiques, ingénieurs, chefs de projets (MOE, MOA) devant intégrer des exigences de sécurité.



Les objectifs de la formation

  • Comprendre le concept de risque lié à la sécurité de l'information
    Utiliser ISO 27005 pour l'analyse de risque
    Connaître d'autres méthodes (EBIOS, MEHARI)
    Faire un choix rationnel de méthode d'analyse de risque