fr
en
ISO/CEI 27001 Lead Implementer : piloter la mise en œuvre d’un système de management de la sécurité de l'information
Un système de management de la sécurité de l’information (SMSI) vise à maîtriser les risques liés à l’information afin d’assurer la continuité d’activité, la protection des actifs et la confiance des parties prenantes. La norme ISO/CEI 27001:2022 définit les exigences permettant de structurer et piloter efficacement ce dispositif.
Cette formation ISO/CEI 27001:2022 Lead Implementer vous permet d’acquérir les compétences nécessaires pour concevoir, déployer et faire évoluer un SMSI conforme à la norme, quelle que soit la taille ou le secteur de l’organisation.
À l’issue de la formation, vous passerez l’examen officiel de certification ISO 27001 Lead Implementer. La réussite de celui-ci vous permettra d'attester de vos capacités professionnelles à mettre en place et gérer un SMSI.
Skills4All est un organisme certificateur spécialisé dans le développement des compétences numériques et la transformation digitale, détenteur de la certification RS7498 inscrite au Répertoire Spécifique de France Compétence
Objectifs
Objectifs pédagogiques :
En résumé:
- Analyser l’existant et définir le périmètre du SMSI (ISO/CEI 27001:2022).
- Concevoir et piloter son projet d’implémentation.
- Élaborer la Politique de Sécurité et la Déclaration d’Applicabilité.
- Déployer, contrôler et améliorer le SMSI.
En détails:
- Collecter et analyser les données existantes afin d’établir un état des lieux documenté de la sécurité de l’information (Gap Analysis) au regard des clauses 4 à 10 de la norme ISO/CEI 27001:2022.
- Définir les objectifs du système de management de la sécurité de l’information (SMSI) en cohérence avec les exigences normatives et la stratégie de l’organisation.
- Formaliser le domaine d’application du SMSI conformément aux clauses 4.3 et 6.1 et élaborer un business case intégrant les risques majeurs, les investissements nécessaires, un enjeu de transition écologique et une mesure favorisant l’inclusion des personnes en situation de handicap.
- Constituer une équipe projet adaptée incluant un Responsable SMSI, en définissant les rôles et responsabilités conformément aux exigences de gouvernance de la norme.
- Concevoir un plan de projet structuré d’implémentation du SMSI, intégrant les activités, ressources, jalons, estimation des coûts et analyse des risques.
- Élaborer une Politique de Sécurité de l’Information conforme aux exigences ISO/CEI 27001:2022 et rédiger une Déclaration d’Applicabilité alignée sur l’annexe A, en justifiant les contrôles inclus ou exclus.
- Piloter et exécuter le plan de projet en produisant les livrables nécessaires au déploiement du SMSI (registre des risques, documentation PDCA, procédures de contrôle, plan de formation et de sensibilisation).
- Faciliter l’appropriation du SMSI en s’appuyant sur une démarche structurée d’accompagnement au changement, incluant des actions de communication, formation et sensibilisation adaptées aux besoins des utilisateurs, y compris des personnes en situation de handicap.
- Mettre en œuvre une démarche de contrôle, de mesure de performance et d’amélioration continue du SMSI, incluant la définition d’indicateurs de performance, la réalisation d’audits internes, l’organisation de revues de direction et le suivi des actions correctives.
Programme
Tour de table :
- Introduction individuelle des participants.
- Exploration des attentes et des objectifs de chaque participant.
- Introduction au cadre de la formation.
- Alignement avec les objectifs et enjeux spécifiques de la formation ISO 27001.
- Identification des attentes et des perspectives individuelles des participants.
Partie 1 : introduction au SMSI tel que défini par l’ISO 27001 et Gap Analysis
- Introduction à la norme ISO 27001 :
- Contexte et principes fondamentaux de la sécurité de l’information
- Approche processus et cycle PDCA
- Présentation des normes associées de la famille ISO 27000 (27001, 27002, 27003, 27004, 27005…)
- Compréhension des exigences des clauses 4 à 10 de la norme
- Analyser et collecter les données - Etat des lieux:
- Méthodologie de réalisation d’un état des lieux documenté
- Collecte de données issues de différentes sources : politiques, procédures, audits internes, entretiens, documentation technique
- Identification et justification des écarts par rapport aux exigences normatives
- Prise en compte, le cas échéant, des risques spécifiques liés à l’exploitation de systèmes intégrant de l’Intelligence Artificielle
- Définition d’au minimum trois axes de progrès en matière de SMSI
Partie 2 : planification du SMSI
- Élaboration du business case et du plan de projet :
- Délimitation du périmètre du SMSI conformément aux clauses 4.3 et 6.1 de la norme ISO/CEI 27001:2022
- Identification des parties prenantes internes et externes
- Analyse des enjeux stratégiques liés au périmètre retenu
- Élaborer le plan de projet :
- Identification des risques majeurs pesant sur l’organisation
- Estimation des investissements nécessaires
- Analyse coûts/bénéfices et alignement stratégique
- Intégration d’un enjeu de transition écologique dans le projet SMSI
- Intégration d’une mesure favorisant l’inclusion des personnes en situation de handicap
- Structuration du plan de projet du SMSI selon les 6 phases clés du déploiement
- Identification des activités, ressources, jalons, estimation des coûts et analyse des risques projet
Partie 3 : mise en œuvre du SMSI
- Constitution et gouvernance de l’équipe projet :
- Composition d’une équipe projet incluant au minimum un Responsable SMSI
- Définition formalisée des rôles et responsabilités
- Coordination avec les parties prenantes
- Élaboration de la Politique de Sécurité de l’Information :
- Rédaction d’une Politique de Sécurité conforme aux exigences ISO/CEI 27001:2022
- Prise en compte des contraintes et spécificités organisationnelles
- Déclaration d’Applicabilité (SoA) :
- Identification des contrôles pertinents issus de l’annexe A ISO/CEI 27001:2022
- Justification des contrôles inclus ou exclus
- Alignement avec les résultats de l’analyse de risques
Partie 4 : exécution et gestion du changement
- Déploiement opérationnel du SMSI :
- Mise en œuvre du plan de projet
- Production des livrables nécessaires au déploiement :
- Registre des risques
- Documentation du cycle PDCA
- Procédures de contrôle et de surveillance
- Plan de formation et de sensibilisation
- Conduite du changement et appropriation
- Analyse des besoins des utilisateurs
- Définition d’actions de communication et de sensibilisation
- Organisation des formations internes
- Prise en compte des besoins spécifiques des utilisateurs, y compris des personnes en situation de handicap
Partie 5 : contrôle et amélioration continue
- Surveillance et mesure de la performance
- Définition d’indicateurs de performance opérationnelle du SMSI
- Exemple : délai moyen de traitement des incidents
- Taux d’incidents non traités
- Taux de conformité aux exigences internes
- Définition de la fréquence de suivi des indicateurs
- Attribution des responsabilités de reporting
- Définition d’indicateurs de performance opérationnelle du SMSI
- Audit interne et revue de direction
- Organisation et réalisation d’audits internes
- Analyse des non-conformités
- Élaboration de plans d’actions correctives
- Mise en place d’une revue de direction conforme aux exigences normatives
- Suivi de 100 % des actions correctives décidées
- Mise en œuvre du cycle PDCA
- Planifier – Déployer – Contrôler – Améliorer
- Intégration des résultats d’audit et des indicateurs dans la démarche d’amélioration continue
Partie 6 : révisions et préparation à la certification (Dernier jour – Matinée)
- Révision des concepts clés de la norme ISO/CEI 27001:2022
- Entraînement à l’étude de cas de mise en situation professionnelle
- Méthodologie de structuration de la réponse écrite
- Préparation aux exigences orales et aux capsules vidéo
- Conseils pratiques pour réussir l’examen de certification
Prérequis
Suivre cette formation ISO 27001 Lead Implementer nécessite les prérequis suivants :
- Maîtriser les connaissances de base des Systèmes de l’Information et de leurs systèmes de sécurité
- Avoir au minimum 1 an d’expérience dans son poste ou métier (en lien avec les Systèmes de l’Information et systèmes de sécurité)
Public
Cette formation s'adresse aux publics suivants :
- les responsables ou consultants impliqués dans le management de la sécurité de l’information ;
- les conseillers spécialisés désirant maîtriser la mise en œuvre d’un SMSI ;
- les membres d’une équipe d'un SMSI ;
- toute personne responsable du maintien de la conformité aux exigences du SMSI.
Points forts
Travaux pratiques basés sur des cas réels avec une documentation de 450 pages ; Formateur expert certifié et habilité; Examens de certification compris dans le prix de la formation.
Certification
Passage de la certification « Piloter la mise en œuvre d’un système de management de la sécurité de l’information (ISO/CEI 27001 Lead Implementer) » inscrite au Répertoire Spécifique sous le n° 7498 (SKILLS4ALL). Examen officiel passé après la formation et vos révisions personnelles.
L’évaluation dure 3h30 (écrit+oral) et se fait à travers une mise en situation professionnelle reconstituée sous forme d’une étude de cas écrite, depuis la plateforme d'examen du certificateur. Le candidat devra élaborer un projet complet d’implémentation d’un SMSI selon ISO/CEI 27001:2022 pour une organisation fictive dont le contexte spécifique, les enjeux et le système d’information sont décrits dans le sujet.
Le candidat devra pour cela :
- Établir un état des lieux de la sécurité de l’information au regard des exigences de la norme ;
- Définir et formaliser le domaine d’application et le business case du SMSI ;
- Structurer le plan de projet et sa gouvernance ;
- Élaborer la Politique de Sécurité de l’Information et la Déclaration d’Applicabilité ;
- Expliciter la démarche de déploiement opérationnel et d’accompagnement au changement ;
- Décrire les modalités de contrôle, de suivi et d’amélioration continue du SMSI.
La production écrite est transmise au jury d’évaluation en amont de la session orale.
---------------------------
La certification comprend également une soutenance orale devant un jury d’évaluation, au cours de laquelle le candidat répond aux questions portant sur son étude de cas, justifie ses choix méthodologiques et apporte des éclairages complémentaires sur la structuration du projet SMSI, la gouvernance, la gestion des risques et la démarche d’amélioration continue.
---------------------------
Pour rappel, en suivant cette formation éligible au CPF, vous vous engagez à passer l’examen de certification.
Objectifs
Objectifs pédagogiques :
En résumé:
- Analyser l’existant et définir le périmètre du SMSI (ISO/CEI 27001:2022).
- Concevoir et piloter son projet d’implémentation.
- Élaborer la Politique de Sécurité et la Déclaration d’Applicabilité.
- Déployer, contrôler et améliorer le SMSI.
En détails:
- Collecter et analyser les données existantes afin d’établir un état des lieux documenté de la sécurité de l’information (Gap Analysis) au regard des clauses 4 à 10 de la norme ISO/CEI 27001:2022.
- Définir les objectifs du système de management de la sécurité de l’information (SMSI) en cohérence avec les exigences normatives et la stratégie de l’organisation.
- Formaliser le domaine d’application du SMSI conformément aux clauses 4.3 et 6.1 et élaborer un business case intégrant les risques majeurs, les investissements nécessaires, un enjeu de transition écologique et une mesure favorisant l’inclusion des personnes en situation de handicap.
- Constituer une équipe projet adaptée incluant un Responsable SMSI, en définissant les rôles et responsabilités conformément aux exigences de gouvernance de la norme.
- Concevoir un plan de projet structuré d’implémentation du SMSI, intégrant les activités, ressources, jalons, estimation des coûts et analyse des risques.
- Élaborer une Politique de Sécurité de l’Information conforme aux exigences ISO/CEI 27001:2022 et rédiger une Déclaration d’Applicabilité alignée sur l’annexe A, en justifiant les contrôles inclus ou exclus.
- Piloter et exécuter le plan de projet en produisant les livrables nécessaires au déploiement du SMSI (registre des risques, documentation PDCA, procédures de contrôle, plan de formation et de sensibilisation).
- Faciliter l’appropriation du SMSI en s’appuyant sur une démarche structurée d’accompagnement au changement, incluant des actions de communication, formation et sensibilisation adaptées aux besoins des utilisateurs, y compris des personnes en situation de handicap.
- Mettre en œuvre une démarche de contrôle, de mesure de performance et d’amélioration continue du SMSI, incluant la définition d’indicateurs de performance, la réalisation d’audits internes, l’organisation de revues de direction et le suivi des actions correctives.
Programme
Tour de table :
- Introduction individuelle des participants.
- Exploration des attentes et des objectifs de chaque participant.
- Introduction au cadre de la formation.
- Alignement avec les objectifs et enjeux spécifiques de la formation ISO 27001.
- Identification des attentes et des perspectives individuelles des participants.
Partie 1 : introduction au SMSI tel que défini par l’ISO 27001 et Gap Analysis
- Introduction à la norme ISO 27001 :
- Contexte et principes fondamentaux de la sécurité de l’information
- Approche processus et cycle PDCA
- Présentation des normes associées de la famille ISO 27000 (27001, 27002, 27003, 27004, 27005…)
- Compréhension des exigences des clauses 4 à 10 de la norme
- Analyser et collecter les données - Etat des lieux:
- Méthodologie de réalisation d’un état des lieux documenté
- Collecte de données issues de différentes sources : politiques, procédures, audits internes, entretiens, documentation technique
- Identification et justification des écarts par rapport aux exigences normatives
- Prise en compte, le cas échéant, des risques spécifiques liés à l’exploitation de systèmes intégrant de l’Intelligence Artificielle
- Définition d’au minimum trois axes de progrès en matière de SMSI
Partie 2 : planification du SMSI
- Élaboration du business case et du plan de projet :
- Délimitation du périmètre du SMSI conformément aux clauses 4.3 et 6.1 de la norme ISO/CEI 27001:2022
- Identification des parties prenantes internes et externes
- Analyse des enjeux stratégiques liés au périmètre retenu
- Élaborer le plan de projet :
- Identification des risques majeurs pesant sur l’organisation
- Estimation des investissements nécessaires
- Analyse coûts/bénéfices et alignement stratégique
- Intégration d’un enjeu de transition écologique dans le projet SMSI
- Intégration d’une mesure favorisant l’inclusion des personnes en situation de handicap
- Structuration du plan de projet du SMSI selon les 6 phases clés du déploiement
- Identification des activités, ressources, jalons, estimation des coûts et analyse des risques projet
Partie 3 : mise en œuvre du SMSI
- Constitution et gouvernance de l’équipe projet :
- Composition d’une équipe projet incluant au minimum un Responsable SMSI
- Définition formalisée des rôles et responsabilités
- Coordination avec les parties prenantes
- Élaboration de la Politique de Sécurité de l’Information :
- Rédaction d’une Politique de Sécurité conforme aux exigences ISO/CEI 27001:2022
- Prise en compte des contraintes et spécificités organisationnelles
- Déclaration d’Applicabilité (SoA) :
- Identification des contrôles pertinents issus de l’annexe A ISO/CEI 27001:2022
- Justification des contrôles inclus ou exclus
- Alignement avec les résultats de l’analyse de risques
Partie 4 : exécution et gestion du changement
- Déploiement opérationnel du SMSI :
- Mise en œuvre du plan de projet
- Production des livrables nécessaires au déploiement :
- Registre des risques
- Documentation du cycle PDCA
- Procédures de contrôle et de surveillance
- Plan de formation et de sensibilisation
- Conduite du changement et appropriation
- Analyse des besoins des utilisateurs
- Définition d’actions de communication et de sensibilisation
- Organisation des formations internes
- Prise en compte des besoins spécifiques des utilisateurs, y compris des personnes en situation de handicap
Partie 5 : contrôle et amélioration continue
- Surveillance et mesure de la performance
- Définition d’indicateurs de performance opérationnelle du SMSI
- Exemple : délai moyen de traitement des incidents
- Taux d’incidents non traités
- Taux de conformité aux exigences internes
- Définition de la fréquence de suivi des indicateurs
- Attribution des responsabilités de reporting
- Définition d’indicateurs de performance opérationnelle du SMSI
- Audit interne et revue de direction
- Organisation et réalisation d’audits internes
- Analyse des non-conformités
- Élaboration de plans d’actions correctives
- Mise en place d’une revue de direction conforme aux exigences normatives
- Suivi de 100 % des actions correctives décidées
- Mise en œuvre du cycle PDCA
- Planifier – Déployer – Contrôler – Améliorer
- Intégration des résultats d’audit et des indicateurs dans la démarche d’amélioration continue
Partie 6 : révisions et préparation à la certification (Dernier jour – Matinée)
- Révision des concepts clés de la norme ISO/CEI 27001:2022
- Entraînement à l’étude de cas de mise en situation professionnelle
- Méthodologie de structuration de la réponse écrite
- Préparation aux exigences orales et aux capsules vidéo
- Conseils pratiques pour réussir l’examen de certification
Prérequis
Suivre cette formation ISO 27001 Lead Implementer nécessite les prérequis suivants :
- Maîtriser les connaissances de base des Systèmes de l’Information et de leurs systèmes de sécurité
- Avoir au minimum 1 an d’expérience dans son poste ou métier (en lien avec les Systèmes de l’Information et systèmes de sécurité)
Public
Cette formation s'adresse aux publics suivants :
- les responsables ou consultants impliqués dans le management de la sécurité de l’information ;
- les conseillers spécialisés désirant maîtriser la mise en œuvre d’un SMSI ;
- les membres d’une équipe d'un SMSI ;
- toute personne responsable du maintien de la conformité aux exigences du SMSI.
Points forts
Travaux pratiques basés sur des cas réels avec une documentation de 450 pages ; Formateur expert certifié et habilité; Examens de certification compris dans le prix de la formation.
Certification
Passage de la certification « Piloter la mise en œuvre d’un système de management de la sécurité de l’information (ISO/CEI 27001 Lead Implementer) » inscrite au Répertoire Spécifique sous le n° 7498 (SKILLS4ALL). Examen officiel passé après la formation et vos révisions personnelles.
L’évaluation dure 3h30 (écrit+oral) et se fait à travers une mise en situation professionnelle reconstituée sous forme d’une étude de cas écrite, depuis la plateforme d'examen du certificateur. Le candidat devra élaborer un projet complet d’implémentation d’un SMSI selon ISO/CEI 27001:2022 pour une organisation fictive dont le contexte spécifique, les enjeux et le système d’information sont décrits dans le sujet.
Le candidat devra pour cela :
- Établir un état des lieux de la sécurité de l’information au regard des exigences de la norme ;
- Définir et formaliser le domaine d’application et le business case du SMSI ;
- Structurer le plan de projet et sa gouvernance ;
- Élaborer la Politique de Sécurité de l’Information et la Déclaration d’Applicabilité ;
- Expliciter la démarche de déploiement opérationnel et d’accompagnement au changement ;
- Décrire les modalités de contrôle, de suivi et d’amélioration continue du SMSI.
La production écrite est transmise au jury d’évaluation en amont de la session orale.
---------------------------
La certification comprend également une soutenance orale devant un jury d’évaluation, au cours de laquelle le candidat répond aux questions portant sur son étude de cas, justifie ses choix méthodologiques et apporte des éclairages complémentaires sur la structuration du projet SMSI, la gouvernance, la gestion des risques et la démarche d’amélioration continue.
---------------------------