arrow
Back

ISO 27005:2018 Risk Manager - Préparation à la certification

ORSYS Luxembourg

Start: 04/10/2021

Objectives

Ce séminaire, basé en partie sur la norme ISO/CEI 27005:2018, permet aux participants d'acquérir les bases théoriques et pratiques de la gestion des risques liés à la sécurité de l'information. Elle prépare efficacement les candidats à la certification ISO 27005 Risk Manager à partir d'études de cas.

Objectifs pédagogiques
  • Comprendre le concept de risque lié à la sécurité de l'information
  • Utiliser ISO 27005:2018 pour l'analyse de risque
  • Connaître d'autres méthodes (EBIOS RM, MEHARI)
  • Faire un choix rationnel de méthode d'analyse de risque

Description

Introduction
  • Terminologie ISO 27000.
  • Définitions de la Menace. Vulnérabilité. Risques.
  • Les exigences Disponibilité Intégrité et Confidentialité: la prise en compte de la traçabilité/preuve.
  • Rappel des contraintes réglementaires et normatives (RGPD, LPM/NIS, PCI DSS...).
  • Le rôle du RSSI versus le Risk Manager.
  • La norme 31000, de l’intérêt de la norme "chapeau" en référentiel universel.
Le concept "risque"
  • Identification et classification des risques.
  • Risques opérationnels, physiques et logiques.
  • Les conséquences du risque (financier, juridique, humain...).
  • La gestion du risque (prévention, protection, évitement de risque, transfert).
  • Assurabilité d'un risque, calcul financier du transfert à l'assurance.
Le management de risques selon l’ISO
  • L’appréciation initiale en phase Plan de la section 6: Planification.
  • La norme 27005:2018: Information Security Risk Management.
  • La mise en œuvre d’un processus PDCA de management des risques.
  • Le contexte, l’appréciation, le traitement, l’acceptation et la revue des risques.
  • Les étapes de l’analyse de risques (identification, analyse et évaluation).
  • La préparation de la déclaration d’applicabilité (SoA) et du plan d’actions.
  • Le partage des risques avec des tiers (cloud, assurance, …); Le domaine 15 de ISO 27002.
  • La méthode de la norme 27001:2013 et son processus "Gestion des Risques".
Les méthodes d'analyse de risques
  • Approche par conformité vs approche par scénarios de risques.
  • La prise en compte des menaces intentionnelles sophistiquées de type APT.
  • Les objectifs de EBIOS RM (Identifier le socle de sécurité, Être en conformité, Identifier et analyser, etc).
  • Les activités de la méthode.
  • CRAMM, OCTAVE... Historique et reste du monde.
  • Les méthodes MEHARI (2010, PRO et Manager).
Conclusion et choix d’une méthode
  • La convergence vers l’ISO, la nécessaire mise à jour.
  • Être ou ne pas être "ISO spirit": les contraintes du modèle PDCA.
  • Une méthode globale ou une méthode par projet.
  • Le vrai coût d’une analyse de risques.
  • Comment choisir la meilleure méthode?
  • Les bases de connaissances (menaces, risques...).
Languages: FR
Price: 3217.5 €
Duration: 3 day(s)
More information