L'audit ISO 27001

informations

Avis Général

4.7/5


Handicap

Les locaux dans lesquels ont lieu les formations sont loués par @forSSIc et chacun des locaux loués possède les conditions d’accueil et d’accès des publics en situation de handicap. La prestation livrée s’adapte aux personnes en situation de handicap.

Description

La mise en place de normes vise à garantir la sécurité, la fiabilité et la qualité des produits et services offerts par les entreprises.
Cette formation permet aux participants d'acquérir les compétences nécessaires pour réaliser des audits internes et externes des systèmes de management de la sécurité de l'information en appliquant les principes, les procédures et les techniques d'audit reconnus conformément à la norme ISO 19011 et au processus de certification de l'ISO/IEC 17021-1. Elle prépare également à la certification ISO 27001 Lead Auditor.

Objectifs

À l'issue de la formation, le participant sera en mesure de :

Comprendre les tenants et les aboutissants de la mise en œuvre un système de management basé sur la norme ISO/IEC 27001.

Savoir planifier, diriger et assurer le suivi d’un audit de système de management conformément à la norme ISO/IEC 19011.

Comprendre le rôle et les attentes autour de la fonction d’auditeur.

Savoir interpréter et auditer les exigences de la norme ISO/IEC 27001.

Obtenir la note de passage requise à l'issue de l'évaluation de l'atelier.

Public concerné

Ce stage pratique s'adresse aux : auditeurs, auditeurs sécurité, RSSI, Risk Manager, Chef de projet sécurité.

Prérequis

Connaissances des bases des réseaux

Connaissances des bases systèmes Linux et Windows

Connaissances des bases de la SSI

Quelques connaissances en développement peuvent être un plus

Solution
de financement

Pour trouver la meilleure solution de financement adaptée à votre situation : contactez votre conseiller formation.
Il vous aidera à choisir parmi les solutions suivantes :

Le plan de développement des compétences de votre entreprise : rapprochez-vous de votre service RH.

Le dispositif FNE-Formation.

L'OPCO (opérateurs de compétences) de votre entreprise.

Pôle Emploi sous réserve de l'acceptation de votre dossier par votre conseiller Pôle Emploi.


Horaires

En présentiel, les cours ont lieu de 9h à 12h30 et de 14h à 17h30. Les participants sont accueillis à partir de 8h45. Les pauses et déjeuners sont offerts. En classe à distance, la formation démarre à partir de 9h. Pour les stages pratiques de 4 ou 5 jours, quelque soit la modalité, les sessions se terminent à 15h30 le dernier jour.


Programme de la formation

1 - Jour 1 :

Introduction :

Brainstorming sur les connaissances générales des stagiaires

Les principes fondamentaux de la sécurité de l’information et de la protection des données :

Les normes ISO

Historique des ISO 27k

Le CID

Le risque en sécurité de l’information

Vulnérabilité et menace

Quizz sur les différentes notions évoqués

Le métier d’auditeur

Le processus de sélection de l’auditeur

L’expérience requise

Les compétences attendues

Le responsable d’audit

Les organismes d’accréditation

Structure de la norme ISO 27001 :

Définition du SMSI

Structure des normes et le PDCA

Les exigences de l’ISO 27001

Le contenu de l’annexe A de l’ISO 27001

Les livrables attendus

Exercice pratique en groupe :

Les stagiaires devront reprendre la norme et en extirper les exigences en indiquant les livrables et les responsales associés pour chaque exigence.

2 - Jour 2 :

L’ISO 19011

Les concepts de base de l’audit

Les types d’audit

Objectifs et critères d’audit

Principes d’audit

Déontologie

Restitution impartiale

Conscience professionnelle

Confidentialité

Indépendance

Approche fondée sur la preuve

Approche fondée sur les risques

Cartographie de l’existant

Cartographie des flux/p>

Revue des processus

Analyse des écarts

Définition du domaine d’application

Exercice et mise en situation :

Dans un premier temps, les apprenants devront par groupe indiquer comment mettre en œuvre de manière concrète certains points d’audit. Dans un second temps le formateur donnera des situations d’audit et les apprenants devront indiquer comment ils réagiraient en fonction des principes d’audit.

La réalisation d’un audit en se basant sur les preuves

Matérielle

Mathématique

Confirmative

Technique

Analytique

Documentaire

Verbale

Cas pratique :

En se basant sur des preuves fournies dans le cadre d’un cas pratique, les apprenants devront indiquer de quel type de preuve il s’agit mais également si cette preuve répond à des exigences de la norme ISO 27001 (les exigences en question seront communiquées).

La réalisation d’un audit en se basant sur les risques

Risque inhérent

Risque de contrôle

Risque de détection

Initialisation de l’audit

L’offre d’audit

L’équipe d’audit

Les compétences attendues de l’équipe d’audit

Faisabilité de l’audit

Objectif de l’audit

Périmètre

Référentiel sur lequel est basé l’audit (critères)

Le contrat

Cas pratique :

En se basant sur un cas pratique, les apprenants devront préparer réaliser une offre d’audit qui servira de base pour le contrat entre l’auditeur et l’entreprise du cas pratique.

3 - Jour 3 :

Audit d’étape 1

Rappel des objectifs de l’audit d’étape 1

Préparation des activités sur site

Observation du site physique

Entretien avec le personnel de l’audité

Revue des documents du SMSI

Rapport d’audit d’étape 1

Cas pratique :

En vous basant sur les documents fournis dans le cas pratique, vous réaliserez un audit d’étape 1 et vous indiquerez si l’organisation est apte à passer l’audit d’étape 2

Préparation de l’audit d’étape 2

Réalisation du plan d’audit

Rappel des objectifs de l’audit

Périmètre d’audit

Attribution des tâches à l’équipe d’audit

Planification des entretiens

Cas pratique :

En se basant sur le plan d’audit associé au cas pratique, corrigez les erreurs contenues dans ce dernier.

Audit d’étape 2

Conduite de la réunion d’ouverture

Collecte d’information

Comportement lors de l’audit

Gestion des conflits

Communication avec la direction

Procédure d’audit

Entretien

Revue de l’information documentée

Observation

Analyse

Échantillonnage

Vérification technique

Corroboration

Évaluation

L’ISO 27007

L’ISO 27008

Cas pratique :

En se basant sur un cas pratique et en reprenant l’ISO 27007 et l’ISO 27008, les apprenants devront indiquer quelles seront les différentes preuves à apporter sur plusieurs points de la norme ISO 27001.

4 - Jour 4 :

Constatation d’audit

Non-Conformité Mineure

Non-Conformité Majeure

Observations

Points d’amélioration

Conformité

Cas pratique :

En se basant sur des preuves d’audit provenant d’un cas pratique, les apprenants devront indiquer et justifier leur constatation d’audit.

Réunion de clôture

Présentation des résultats

Recommandation d’audit

Question et réponses

Suite de l’audit

Cas pratique :

Les apprenants devront préparez et effectuez une réunion de clôture avec la direction du cas pratique. Ils devront évoquer les constatations et conclusions d'audit, les non-conformités détectées, les accords sur les actions correctives proposées…

Rédaction du rapport d’audit

Présentation de la société

Constats d’audit

Recommandation

Notes d’audit

Cas pratique :

En se basant sur quelques non-conformités fournis dans l’étude de cas, les apprenants devront créer des rapports de non-conformités.

Audit de suivi

Préparation des actions correctives

Réalisation des actions correctives

Revue par l’auditeur

Cas pratique :

En se basant sur quelques plans d’actions fournis dans l’étude de cas, les apprenants devront indiquer s’ils valident ou non les plans d’actions. Les apprenants devront également préciser quel est pour eux le meilleur plan d’action à mettre en œuvre selon eux pour corriger les non-conformités.

Le cycle d’audit et les audits ultérieurs

Audit de suivi

Audit de surveillance

Audit de re certification

Cycle d’audit

Avis clients

Vincent

4.7/5

Moyenne calculée sur l'ensemble des formations animées par @ForSSIc pour divers clients sur l'année 2022

Rémi

5/5

Killian a su s'adapter au niveau de chacun, qui était très hétérogène, sans pour autant que ce soit ennuyant pour les plus expérimentés ou trop dur pour les plus débutants. Patient, pédagogue, sympa ! Les supports de formation sont clairs, précis et concis.

Julia

4/5

Un peu trop de théorie au début mais ensuite la qualité des exercices étaient top. Formateur très pédogogue.