Présentation de la norme ISO27001 :2022

  • par Olivier FUMEY
  • Durée : 7 heures
  • Prix catalogue : 500 € tarif groupe jusqu'à 2 stagiaires, 500 € avec financement, tarif réduit : 400 € (sous conditions) (hors frais de déplacement, d'hébergement, etc.)
  • Étiquettes :
    • Amélioration continue
    • Compétences
    • Cybersécurité
  • Pour plus de 2 stagiaires, revue du tarif en fonction du nombre de personnes et du niveau global de connaissance des normes ISO
1)           Présentation de la Norme ISO27001 :2022
2)           Structure de la Norme
3)           Nouveautés de la version 2022
4)           Mise en œuvre du SMSI – Analyse de Risques
5)           Surveillances et Revue
6)           Amélioration Continue
7)           Cas Pratiques et étude de cas 

Public(s)

Responsables de la sécurité de l'information, gestionnaires de risques, auditeurs internes, et toute personne impliquée dans la mise en œuvre ou la gestion d'un système de management de la sécurité de l'information (SMSI). Tout Responsable d'une organisation/Entreprise qui souhaite mettre en place un système de Management de la Sécurité de l'information. (Connaissances de bases sur les exigences générales des normes ISO.)

Objectifs

Cette formation vise à approfondir la compréhension des exigences de la norme ISO27001 et des changements introduits par la norme ISO 27001:2022. Elle est conçue pour des personnes ayant déjà une connaissance de base des normes ISO 

Programme


1. Présentation de la Norme ISO 27001:2022
  • Définition : La norme ISO 27001:2022 spécifie les exigences pour établir, mettre en œuvre, maintenir et améliorer un SMSI. Elle aide les organisations à protéger leurs informations sensibles et à gérer les risques liés à la sécurité de l'information.
  • Importance : La mise en œuvre de cette norme permet de renforcer la confiance des parties prenantes, de se conformer aux exigences légales et réglementaires, et de protéger les actifs informationnels de l'organisation.
2. Structure de la Norme
Contexte de L'organisation : 
  • Compréhension des besoins et attentes : Identifier les besoins et attentes des parties intéressées, internes et externes, en matière de sécurité de l'information.
  • Exigences légales et réglementaires : Identifier et comprendre les exigences légales, réglementaires et contractuelles applicables à l'organisation.
Leadership
  • Engagement de la direction : La direction doit démontrer son engagement envers la sécurité de l'information en allouant les ressources nécessaires et en soutenant les initiatives de sécurité.
  • Politique de sécurité de l'information : Établir une politique de sécurité de l'information qui soit alignée avec les objectifs stratégiques de l'organisation.
  • Rôles et responsabilités : Définir clairement les rôles et responsabilités en matière de sécurité de l'information au sein de l'organisation.
Planification :
  • Évaluation des risques : Identifier les risques liés à la sécurité de l'information et évaluer leur impact potentiel sur l'organisation.
  • Traitement des risques : Déterminer les mesures de sécurité appropriées pour traiter les risques identifiés.
  • Objectifs de sécurité de l'information : Établir des objectifs de sécurité de l'information qui soient mesurables et alignés avec les objectifs stratégiques de l'organisation.
Support :
  • Ressources : Allouer les ressources nécessaires pour mettre en œuvre et maintenir le SMSI.
  • Compétences : S'assurer que le personnel dispose des compétences nécessaires pour gérer la sécurité de l'information.
  • Sensibilisation : Mettre en place des programmes de sensibilisation pour informer le personnel des politiques et des procédures de sécurité de l'information.
  • Communication : Établir des canaux de communication efficaces pour diffuser les informations relatives à la sécurité de l'information.
  • Documentation : Maintenir une documentation complète et à jour des politiques, procédures et processus de sécurité de l'information.
Opération :
  • Planification et contrôle opérationnel : Planifier et contrôler les processus opérationnels pour s'assurer qu'ils sont conformes aux exigences de sécurité de l'information.
  • Évaluation et traitement des risques : Mettre en œuvre des mesures de sécurité pour traiter les risques identifiés et évaluer leur efficacité.
Évaluation des performances :
  • Surveillance, mesure, analyse et évaluation : Mettre en place des indicateurs de performance pour surveiller et évaluer l'efficacité du SMSI.
  • Audit interne : Réaliser des audits internes pour vérifier la conformité et l'efficacité du SMSI.
  • Revue de direction : La direction doit passer en revue le SMSI à intervalles réguliers pour s'assurer de sa pertinence et de son efficacité.
Amélioration :
  • Amélioration continue : Mettre en place un processus d'amélioration continue pour renforcer le SMSI.
  • Actions correctives et préventives : Identifier et mettre en œuvre des actions pour corriger les non-conformités et prévenir les incidents.

3. Nouveautés de la Version 2022
  • Alignement avec la structure HLS (High-Level Structure) : La norme ISO 27001:2022 est alignée avec la structure HLS, ce qui facilite son intégration avec d'autres normes de systèmes de management (ISO 9001, ISO 14001, etc.).
  • Renforcement de l'approche par les risques : La nouvelle version met davantage l'accent sur la gestion des risques, en intégrant cette approche dans tous les aspects du SMSI.
  • Clarification des exigences : Les exigences de la norme ont été clarifiées pour améliorer la compréhension et faciliter la mise en œuvre.
  • Nouvelles mesures de sécurité : De nouvelles mesures de sécurité ont été ajoutées pour répondre aux évolutions des menaces et des technologies.

4. Mise en Œuvre du SMSI
Évaluation des risques :
  • Identification des actifs : Identifier les actifs informationnels de l'organisation et évaluer leur importance.
  • Identification des menaces et des vulnérabilités : Identifier les menaces potentielles et les vulnérabilités qui pourraient affecter les actifs informationnels.
Traitement des risques :
  • Sélection des mesures de sécurité : Sélectionner les mesures de sécurité appropriées pour traiter les risques identifiés.
  • Mise en œuvre des mesures de sécurité : Mettre en œuvre les mesures de sécurité sélectionnées et s'assurer de leur efficacité.
Déclaration d'applicabilité :
  • Documentation des mesures de sécurité : Documenter les mesures de sécurité mises en œuvre et justifier les exclusions éventuelles.
  • Justification des exclusions : Fournir une justification pour les mesures de sécurité qui ne sont pas mises en œuvre.
Plan de traitement des risques :
  • Planification des actions : Planifier les actions nécessaires pour traiter les risques identifiés.
  • Suivi et évaluation : Suivre la mise en œuvre des actions et évaluer leur efficacité.

5. Surveillance et Revue
Surveillance continue :
  • Indicateurs de performance : Mettre en place des indicateurs de performance pour surveiller l'efficacité du SMSI.
  • Analyse des résultats : Analyser les résultats des indicateurs de performance pour identifier les domaines nécessitant des améliorations.
Audit interne :
  • Planification des audits : Planifier des audits internes réguliers pour vérifier la conformité et l'efficacité du SMSI.
  • Réalisation des audits : Réaliser les audits internes et documenter les résultats.
Revue de direction :
  • Préparation de la revue : Préparer les informations nécessaires pour la revue de direction, y compris les résultats des audits internes et des indicateurs de performance.
  • Réalisation de la revue : La direction doit passer en revue le SMSI à intervalles réguliers pour s'assurer de sa pertinence et de son efficacité.

6. Amélioration Continue
Actions correctives et préventives :
  • Identification des non-conformités : Identifier les non-conformités et les incidents de sécurité.
  • Mise en œuvre des actions correctives : Mettre en œuvre des actions pour corriger les non-conformités et prévenir les incidents futurs.
Amélioration continue :
  • Processus d'amélioration continue : Mettre en place un processus d'amélioration continue pour renforcer le SMSI.
  • Suivi des améliorations : Suivre les améliorations apportées et évaluer leur impact sur l'efficacité du SMSI.
7. Cas Pratiques et Études de Cas
  • Exemples concrets : étude de cas pour illustrer la mise en œuvre de la norme ISO 27001:2022 
  • Discussions interactives : Encourager les participants à partager leurs expériences et à discuter des défis rencontrés lors de la mise en œuvre de la norme.

Organisation des cours

1/2 journée (matin) 9h30-12h30  
1/2 journée (après-midi) 14h-17h00

Pédagogie


La pédagogie développée dans le cadre de cette Action de formation repose sur Pédagogie Progressive 5D" (5 Dimensions d'apprentissage). 


Caractéristiques clés :

  • Personnalisée : Adaptation au niveau et secteur de l'apprenant
  • Interactive : Alternance supports théoriques/exercices pratiques
  • Pragmatique : Focus sur l'applicabilité immédiate
  • Mesurable : Évaluation continue et suivi post-formation
  • Flexible : Modulable selon les contraintes (durée, niveau, secteur)

Modalités d'évaluation

Cas d'études pratique avec un diagnostic/évaluation  des exigences de la norme ISO27001: 2022 sur l'organisation/Entreprise de chaque stagiaire

Matériel

  • Vidéoprojecteur / Ordinateur Personnel
  • PaperBoard