Implémenter un projet ISO 27701

informations

Avis Général

4.7/5


Handicap

Les locaux dans lesquels ont lieu les formations sont loués par @forSSIc et chacun des locaux loués possède les conditions d’accueil et d’accès des publics en situation de handicap. La prestation livrée s’adapte aux personnes en situation de handicap.

Description

Avec la collecte croissante de données personnelles et leur traitement, les organisations sont confrontées à des préoccupations de confidentialité liées aux données à caractères personnelles.
Cette formation vous fournira l'expertise nécessaire pour aider une organisation à établir, mettre en œuvre, entretenir et améliorer continuellement un système de management de la protection de la vie privée basé sur la norme ISO/IEC 27701. En outre, cette formation vous préparera à la certification ISO 27701 Lead Implementer.

Objectifs

À l'issue de la formation, le participant sera en mesure de :

Décrire l'objectif et les avantages d'un système de management de la vie privée.

Savoir mettre en œuvre un système de management basé sur la norme ISO 27701.

Savoir mener une analyse d’impact sur la protection des données.

Connaitre les principaux concepts de gouvernance et ses principaux enjeux et implication en matière de sécurité de l’information.

Utiliser la norme ISO 27701 comme cadre pour l'amélioration continue.

Obtenir la note de passage requise à l'issue de l’examen.

Public concerné

Ce stage pratique s'adresse à : DPO, RSSI, Correspondant sécurité, Technicien réseau et système…

Prérequis

Connaissances des bases des réseaux

Connaissances des bases systèmes Linux et Windows

Connaissances des bases de la SSI

Quelques connaissances en développement peuvent être un plus

Solution
de financement

Pour trouver la meilleure solution de financement adaptée à votre situation : contactez votre conseiller formation.
Il vous aidera à choisir parmi les solutions suivantes :

Le plan de développement des compétences de votre entreprise : rapprochez-vous de votre service RH.

Le dispositif FNE-Formation.

L'OPCO (opérateurs de compétences) de votre entreprise.

Pôle Emploi sous réserve de l'acceptation de votre dossier par votre conseiller Pôle Emploi.


Horaires

En présentiel, les cours ont lieu de 9h à 12h30 et de 14h à 17h30. Les participants sont accueillis à partir de 8h45. Les pauses et déjeuners sont offerts. En classe à distance, la formation démarre à partir de 9h. Pour les stages pratiques de 4 ou 5 jours, quelque soit la modalité, les sessions se terminent à 15h30 le dernier jour.


Programme de la formation

1 - Introduction, principes fondamentaux de la sécurité de l’information

Les bases de la cybersécurité

Le rôle du Lead SMVP

Les outils du Lead SMVP

Les normes ISO

Comment lire une norme ISO

Définition du SMVP

Structure des normes et le PDCA

Les exigences de l’ISO 27701

Le contenu des annexes A et B de l’ISO 27701

Les livrables attendus

Exercice pratique en groupe :

les stagiaires devront reprendre la norme et en extirper les exigences en indiquant les livrables et les responsales associés pour chaque exigence.

2 - Préparation et planification du projet SMVP

Le lancement du projet SMVP

Compréhension de l’organisme

Rédaction du plan projet

Enjeux interne et externes

Présentation d’outils

Cartographie de l’existant

Cartographie des flux

Revue des processus

Analyse des écarts

Définition du domaine d’application

Matrice des compétences

RSSI

DPO

Responsable du traitement des données personnelles

Sous-traitant du traitement des données personnelles

Répartition des rôles

Leadership et management

Business Case

Présentation du projet à la Direction

Avantages juridique, économiques et internes du SMVP

Budgétisation

Politique de sécurité de l’information et politique de protection des données

Introduction

Domaine d’application

Objectifs

Principes

Rôles et responsabilités

Principaux éléments attendus

Politiques connexes

Diffusion de la politique

L’analyse de risque

La méthodologie d’appréciation du risque

L’identification des risques

L’appréciation du risque

L’évaluation du risque

Le traitement du risque

Le risque résiduel et acceptation du risque

Plan de traitement des risques

L’analyse d’impact sur la protection des données

Compréhension du contexte

Mesures mis en œuvre pour le respect des 6 principes du RGPD

Mesures mis en œuvre pour le respect des droits des personnes concernées

L’appréciation des risques sur la vie privée

L’évaluation des risques sur la vie privée

Le traitement du risque sur la vie privée

Le suivi et la communication des risques

Déclaration d’applicabilité

3 - Mise en place du SMVP

La mise en place d’un processus de gestion documentaire

La création de modèle

Le contenu type d’un document

La classification

La gestion des enregistrements

Le cycle de vie documentaire

Plan de formation et de sensibilisation

Définition de la compétence, de la formation et de la sensibilisation

Conception et planification de la sensibilisation

Support de sensibilisation

Programme de formation

La matrice de compétence

Résultats des campagnes de sensibilisation et de formation

Gestion des incidents et des violations de données personnelles

La politique de gestion des incidents

Les processus de remontée des incidents

Les CERT

Les mesures de réponses à incidents

L’analyse forensique

Sauvegarde et stockage des incidents de sécurité

Revue et interprétation des incidents de sécurité

Autres mesures à mettre en œuvre

La gestion des actifs

La gestion des identités et des accès

La gestion du chiffrement

La protection des réseaux

Les relations avec les fournisseurs

La sécurité du développement

La continuité d’activité

Le choix des indicateurs

4 - Surveillance, revue et amélioration continue du SMVP :

Le suivi et la mesure des performances

L’ISO 27004

Indicateur de performance

Indicateur d’efficacité

Interprétation du tableau de bord

L’audit interne

Audit interne (1ère partie) /externe (2nde et tierce partie)

Les objectifs de l'audit interne

Nomination d'un responsable d'audit

Déroulé d'un audit interne (pont avec la 19011)

Relevé de non-conformités (majeure et mineure)

Suivi des non-conformités

Revue de direction

Périodicité de la revue de direction

Exemple d’ordre du jour

Plan d’action pour le traitement des non-conformités

Opportunités d’amélioration continue

Rapport de revue de direction

Le traitement des non-conformités

L’amélioration continue

Avis clients

Vincent

4.7/5

Moyenne calculée sur l'ensemble des formations animées par @ForSSIc pour divers clients sur l'année 2022

Rémi

5/5

Killian a su s'adapter au niveau de chacun, qui était très hétérogène, sans pour autant que ce soit ennuyant pour les plus expérimentés ou trop dur pour les plus débutants. Patient, pédagogue, sympa ! Les supports de formation sont clairs, précis et concis.

Julia

4/5

Un peu trop de théorie au début mais ensuite la qualité des exercices étaient top. Formateur très pédogogue.