informations
Référence : AF-AU27
Prix de la formation : 3000 € HT par personne
Durée : 4 jours
Pauses-café et déjeuners offerts
Cours pratique en présentiel ou en classe à distance
ÉQUILIBRE THÉORIE / PRATIQUE :
- Formation orientée sur la pratique
- 70% de pratique et 30% de théorie.
VÉRIFICATION DES CONNAISSANCES :
QCM de 15 questions à réaliser en amont de la formation.
Délai d’accès :
1 mois de délai à compter de la réception de la demande de formation
Avis Général
4.7/5
Handicap
Les locaux dans lesquels ont lieu les formations sont loués par @forSSIc et chacun des locaux loués possède les conditions d’accueil et d’accès des publics en situation de handicap. La prestation livrée s’adapte aux personnes en situation de handicap.
Description
La mise en place de normes vise à garantir la sécurité, la fiabilité et la qualité des produits et services offerts par les entreprises.
Cette formation permet aux participants d'acquérir les compétences nécessaires pour réaliser des audits internes et externes des systèmes de management de la sécurité de l'information en appliquant les principes,
les procédures et les techniques d'audit reconnus conformément à la norme ISO 19011 et au processus de certification de l'ISO/IEC 17021-1. Elle prépare également à la certification ISO 27001 Lead Auditor.
Objectifs
À l'issue de la formation, le participant sera en mesure de :
Comprendre les tenants et les aboutissants de la mise en œuvre un système de management basé sur la norme ISO/IEC 27001.
Savoir planifier, diriger et assurer le suivi d’un audit de système de management conformément à la norme ISO/IEC 19011.
Comprendre le rôle et les attentes autour de la fonction d’auditeur.
Savoir interpréter et auditer les exigences de la norme ISO/IEC 27001.
Obtenir la note de passage requise à l'issue de l'évaluation de l'atelier.
Public concerné
Ce stage pratique s'adresse aux : auditeurs, auditeurs sécurité, RSSI, Risk Manager, Chef de projet sécurité.
Prérequis
Connaissances des bases des réseaux
Connaissances des bases systèmes Linux et Windows
Connaissances des bases de la SSI
Quelques connaissances en développement peuvent être un plus
Solution
de financement
Pour trouver la meilleure solution de financement adaptée à votre situation : contactez votre conseiller formation.
Il vous aidera à choisir parmi les solutions suivantes :
Le plan de développement des compétences de votre entreprise : rapprochez-vous de votre service RH.
Le dispositif FNE-Formation.
L'OPCO (opérateurs de compétences) de votre entreprise.
Pôle Emploi sous réserve de l'acceptation de votre dossier par votre conseiller Pôle Emploi.
Horaires
En présentiel, les cours ont lieu de 9h à 12h30 et de 14h à 17h30. Les participants sont accueillis à partir de 8h45. Les pauses et déjeuners sont offerts. En classe à distance, la formation démarre à partir de 9h. Pour les stages pratiques de 4 ou 5 jours, quelque soit la modalité, les sessions se terminent à 15h30 le dernier jour.
Programme de la formation
1 - Jour 1 :
Introduction :
Brainstorming sur les connaissances générales des stagiaires
Les principes fondamentaux de la sécurité de l’information et de la protection des données :
Les normes ISO
Historique des ISO 27k
Le CID
Le risque en sécurité de l’information
Vulnérabilité et menace
Quizz sur les différentes notions évoqués
Le métier d’auditeur
Le processus de sélection de l’auditeur
L’expérience requise
Les compétences attendues
Le responsable d’audit
Les organismes d’accréditation
Structure de la norme ISO 27001 :
Définition du SMSI
Structure des normes et le PDCA
Les exigences de l’ISO 27001
Le contenu de l’annexe A de l’ISO 27001
Les livrables attendus
Exercice pratique en groupe :
Les stagiaires devront reprendre la norme et en extirper les exigences en indiquant les livrables et les responsales associés pour chaque exigence.
2 - Jour 2 :
L’ISO 19011
Les concepts de base de l’audit
Les types d’audit
Objectifs et critères d’audit
Principes d’audit
Déontologie
Restitution impartiale
Conscience professionnelle
Confidentialité
Indépendance
Approche fondée sur la preuve
Approche fondée sur les risques
Cartographie de l’existant
Cartographie des flux/p>
Revue des processus
Analyse des écarts
Définition du domaine d’application
Exercice et mise en situation :
Dans un premier temps, les apprenants devront par groupe indiquer comment mettre en œuvre de manière concrète certains points d’audit. Dans un second temps le formateur donnera des situations d’audit et les apprenants devront indiquer comment ils réagiraient en fonction des principes d’audit.
La réalisation d’un audit en se basant sur les preuves
Matérielle
Mathématique
Confirmative
Technique
Analytique
Documentaire
Verbale
Cas pratique :
En se basant sur des preuves fournies dans le cadre d’un cas pratique, les apprenants devront indiquer de quel type de preuve il s’agit mais également si cette preuve répond à des exigences de la norme ISO 27001 (les exigences en question seront communiquées).
La réalisation d’un audit en se basant sur les risques
Risque inhérent
Risque de contrôle
Risque de détection
Initialisation de l’audit
L’offre d’audit
L’équipe d’audit
Les compétences attendues de l’équipe d’audit
Faisabilité de l’audit
Objectif de l’audit
Périmètre
Référentiel sur lequel est basé l’audit (critères)
Le contrat
Cas pratique :
En se basant sur un cas pratique, les apprenants devront préparer réaliser une offre d’audit qui servira de base pour le contrat entre l’auditeur et l’entreprise du cas pratique.
3 - Jour 3 :
Audit d’étape 1
Rappel des objectifs de l’audit d’étape 1
Préparation des activités sur site
Observation du site physique
Entretien avec le personnel de l’audité
Revue des documents du SMSI
Rapport d’audit d’étape 1
Cas pratique :
En vous basant sur les documents fournis dans le cas pratique, vous réaliserez un audit d’étape 1 et vous indiquerez si l’organisation est apte à passer l’audit d’étape 2
Préparation de l’audit d’étape 2
Réalisation du plan d’audit
Rappel des objectifs de l’audit
Périmètre d’audit
Attribution des tâches à l’équipe d’audit
Planification des entretiens
Cas pratique :
En se basant sur le plan d’audit associé au cas pratique, corrigez les erreurs contenues dans ce dernier.
Audit d’étape 2
Conduite de la réunion d’ouverture
Collecte d’information
Comportement lors de l’audit
Gestion des conflits
Communication avec la direction
Procédure d’audit
Entretien
Revue de l’information documentée
Observation
Analyse
Échantillonnage
Vérification technique
Corroboration
Évaluation
L’ISO 27007
L’ISO 27008
Cas pratique :
En se basant sur un cas pratique et en reprenant l’ISO 27007 et l’ISO 27008, les apprenants devront indiquer quelles seront les différentes preuves à apporter sur plusieurs points de la norme ISO 27001.
4 - Jour 4 :
Constatation d’audit
Non-Conformité Mineure
Non-Conformité Majeure
Observations
Points d’amélioration
Conformité
Cas pratique :
En se basant sur des preuves d’audit provenant d’un cas pratique, les apprenants devront indiquer et justifier leur constatation d’audit.
Réunion de clôture
Présentation des résultats
Recommandation d’audit
Question et réponses
Suite de l’audit
Cas pratique :
Les apprenants devront préparez et effectuez une réunion de clôture avec la direction du cas pratique. Ils devront évoquer les constatations et conclusions d'audit, les non-conformités détectées, les accords sur les actions correctives proposées…
Rédaction du rapport d’audit
Présentation de la société
Constats d’audit
Recommandation
Notes d’audit
Cas pratique :
En se basant sur quelques non-conformités fournis dans l’étude de cas, les apprenants devront créer des rapports de non-conformités.
Audit de suivi
Préparation des actions correctives
Réalisation des actions correctives
Revue par l’auditeur
Cas pratique :
En se basant sur quelques plans d’actions fournis dans l’étude de cas, les apprenants devront indiquer s’ils valident ou non les plans d’actions. Les apprenants devront également préciser quel est pour eux le meilleur plan d’action à mettre en œuvre selon eux pour corriger les non-conformités.
Le cycle d’audit et les audits ultérieurs
Audit de suivi
Audit de surveillance
Audit de re certification
Cycle d’audit