Cours: ISO/IEC 27002 : Sécurité de l’information (avec certification fondation)

Le standard ISO/IEC 27002 est le standard international pour la gestion de la sécurité de l'information.

La norme est un Code de bonnes pratiques pour la gestion de la sécurité de l'information .c'est un ensemble formel de 133 spécifications et d'exigences destinées à être utilisées par tous ceux qui sont responsables de la mise en place ou du maintien d'un Système de management de la sécurité de l'information.

La sécurité technique et organisationnelle sont souvent considérées comme inconciliables. Or, si les normes ISO 27001 et ISO 27002 rencontrent un tel succès, c'est parce qu'elles permettent de créer un lien réel entre les deux. Cette formation présente l'essentiel de la norme ISO27002 et les liens avec la norme ISO 27001.

La formation ISO/IEC 27002 sur les fondements (Foundation) de la norme couvre les concepts de base de la sécurité de l'information, le lien avec la gestion de la sécurité dans ITILV3 et propose des tests de préparation à l'examen ISO27002 Foundation de l'EXIN.

Schémas de filière:

• Filière métier : Service Manager
• Les formations à la sécurité du système d’information – les normes ISO/IEC 27000
• Filière métier : Chef de projet MOA
• Filière métier : Chef de projet MOE débutant

Début

Cours magistral avec exercices

Début

La formation s'adresse à tous ceux qui souhaitent améliorer leur maîtrise des mesures de sécurité de l'information et envisagent éventuellement, la certification ISO27002. Elle s'adresse à la fois aux opérationnels et aux RSSI.

Début

• Aucun pré-requis pour ce cours

Début

Suite à la formation le candidat sera capable de :

• Appréhender dans sa globalité les pratiques exemplaires en matière de sécurité de l'information;
• Connaître leurs impacts et leurs importances dans tout environnement technologique et organisationnel en utilisant comme modèle la norme ISO 27002 : 2007 sur la sécurité de l'information.
• Comprendre le cadre de référence ISO 27002, ses processus et ses exigences
• Assimiler le processus de certification ISO 27002
• Se préparer et passer l'examen ISO/IEC 27002 Foundation de l'EXIN.

Début

Historique, objectifs et bénéfices de la norme.

Les Normes de sécurité IS 17799, IS 27001 et IS 27002

Thème 1 : CHAMP d'application de la norme IS 27002

• La norme donne des recommandations pour la gestion de la sécurité des informations pour ceux qui sont chargés
• La norme ISO/CEI 27002 est composé de 15 chapitres dont 4 premiers introduisent la norme et les 11 chapitres suivants couvrent le management de la sécurité aussi bien dans ses aspects stratégiques que dans ses aspects opérationnels.

Thème 2 : Termes et définitions, structure de la norme

• Sécurité de l'information » est explicitement définie comme la «préservation de la confidentialité, l'intégrité et la disponibilité de l'information». Ceux-ci et d'autres termes connexes sont définies plus loin.
• Les objectifs de contrôle

Thème 3 : Evaluation des risques et de traitement

• IS / CEI 27002 couvre le sujet de la gestion des risques. Elle donne des directives générales sur la sélection et l'utilisation de méthodes appropriées pour analyser les risques pour la sécurité des informations.

Thème 4 : Potitique et stratégie de sécurité de l'information

• La nécessité pour l'organisme de disposer d'une politique de sécurité de l'information et de la réexaminer régulièrement
• Mise en œuvre d'une politique de sécurité
• Organisation la sécurité de l'information : mesures nécessaire à l'établissement d' un cadre de gestion de la sécurité en interne et traite de tous les aspects contractuels liés à la sécurisation de l'accès par des tiers (clients, sous-traitants, …) au système d'information.

Thème 5 : Gestion des actifs

• Inventaire et identification des actifs : des biens physiques (serveurs, réseau, imprimantes, baies de stockage, poste de travail, des matériels non IT), des informations (database, fichiers, archives) des logiciels (application ou système) des services de la documentation (politiques, procédures, plans)
• Mise en œuvre de mesures adaptées

Thème 6 : Sécurité liée aux ressources humaines

• Recommandations destinées à réduire le risque d'erreur ou de fraude en favorisant la formation et la sensibilisation des utilisateurs sur les risques et les menaces pesant sur les informations.

Thème 7 : Sécurité physique et environnementales

• Les mesures pour protéger les locaux de l'organisme contre les accès non autorisés et les menaces extérieures et environnementales ainsi que protéger les matériels (emplacement, maintenance, alimentation électrique …).

Thème 8 : Exploitation et gestion des communications

• Mesures et bonnes pratiques pour :
  • d'assurer une exploitation correcte et sécurisée des moyens de traitement de l'information;
  • de gérer les prestations de service assurées par des tiers;
  • de réduire les risques de panne;
  • de protéger l'intégrité des informations et des logiciels;
  • de maintenir l'intégrité, la confidentialité et la disponibilité des informations et des moyens de traitement de l'information;
  • d'assurer la protection des informations sur les réseaux et la protection de l'infrastructure sur laquelle ils s'appuient;
  • de maintenir la sécurité des informations et des logiciels échangés au sein de l'organisme et avec une entité extérieure;
  • de détecter les traitements non autorisés de l'information.

Thème 9 : Contrôle des accès, gestion des incidents

• Mesures pour gérer et contrôler les accès logiques aux informations, pour assurer la protection des systèmes en réseau, et pour détecter les activités non autorisées.
• Sécurité de l'information lors de l'utilisation d'appareils informatiques mobiles et d'équipements de télétravail.
• Processus et procédures pour la détection et le traitement des incidents de sécurité.