Formation Risk Manager ISO 27005
Objectifs
- 1. Maîtriser la norme ISO 27005.
- Apprécier et analyser les risques du système d’Information.
- Apprendre à implémenter la norme ISO 27005.
- Traiter les risques du système d’information.
- Appréhender la stratégie de gestion des risques ISO 27005 dans le processus global du système de management de la sécurité de l’information conforme à l’ISO 27001.
- Devenir Risk Manager certifié.
Programme détaillé
- Accueil des participants et présentation de la formation « Risk Manager ISO 27005 ».
- Présentation de la famille des normes ISO 2700X.
- Présentation de la norme ISO 27005 :
- Établissement du contexte.
- Appréciation du risque.
- Traitement du risque.
- Communication relative aux risques.
- Surveillance et réexamen des risques.
- Positionnement de la Stratégie de Gestion de Risque selon l’ISO 27005 vis à vis du processus de management de la sécurité du système d’Information (SMSI) ISO 27001.
- Définition d’une Stratégie de Gestion des risques :
- Définition de l’approche d’appréciation du risque.
- Identification des risques.
- Analyse et évaluation des risques.
- Identification et évaluation des choix de traitement des risques.
- Sélection des mesures de sécurité.
- Approbation des risques résiduels.
- Stratégie d’appréciation du risque :
- Identification des actifs et propriétaires.
- Identification des menaces.
- Identification des vulnérabilités.
- Identification des mesures.
- Identification des impacts.
- Stratégie de traitement du risque :
- Evaluation du risque.
- Choix de traitement des risques.
- Choix des mesures de sécurité.
- Étude de cas : définition d’une stratégie de gestion des risques.
- Processus de suivi et revue des risques :
- Indicateurs de suivi.
- Comité de pilotage opérationnel et comité stratégique de la sécurité.
- Approbation des risques résiduels.
- Préparation à l’examen de certification.
- Conclusion et bilan de la formation (appréciation et positionnement des participants sur leurs acquisitions initialement, en cours et en fin de formation).
Pédagogie et Supports
Des phases pratiques et théoriques sont organisées en alternance, avec pour supports, les outils pédagogiques suivants :
- Cours théoriques : définitions, notions clés, acquisitions méthodologiques
- Etude de cas
- Exercices théoriques et pratiques
- Supports visuels et documentaires
- Prêts de normes ISO
Examen de certification
- L’examen « PECB Certified ISO/IEC 27005 Risk Manager » couvre les domaines de compétences suivants :
Domaine 1 : Principes et concepts fondamentaux relatifs à la gestion des risques liés à la sécurité de l’information
Domaine 2 : Mettre en œuvre un programme de gestion des risques liés à la sécurité de l’information
Domaine 3 : Processus et cadre de gestion des risques liés à la sécurité de l’information conformes à la norme ISO/IEC 27005
Domaine 4 : Autres méthodes d’appréciation des risques de la sécurité de l’information
Après avoir réussi l’examen, vous pouvez demander l’un des qualifications mentionnées sur le tableau ci-dessous.
Les exigences relatives à la certification « Manager » sont :
Qualification | Examen | Expérience professionnelle | Expérience en gestion des risques | Autres exigences |
PECB Certified ISO/IEC 27005 Provisional Risk Manager | Examen « PECB Certified ISO/CEI 27005 Risk Manager » ou équivalent | Aucune | Aucune | Signer le Code de déontologie de PECB |
PECB Certified ISO/IEC 27005 Risk Manager | Examen « PECB Certified ISO/CEI 27005 Risk Manager » ou équivalent | Deux années : une année d’expérience en management des risques | Activités de management des risques totalisant 200 heures | Signer le Code de déontologie de PECB |
PECB Certified ISO/IEC 27005 Lead Risk Manager | Examen « PECB Certified ISO/CEI 27005 Risk Manager » ou équivalent | Cinq années : deux année d’expérience en management des risques | Activités de management des risques totalisant 300 heures | Signer le Code de déontologie de PECB |
PECB Certified ISO/IEC 27005 Senior Lead Risk Manager | Examen « PECB Certified ISO/CEI 27005 Risk Manager » ou équivalent | Dix années : sept année d’expérience en management des risques | Activités de management des risques totalisant 1000 heures | Signer le Code de déontologie de PECB |
Afin d’être considérées valides, ces activités de sécurité de l’information doivent suivre les bonnes pratiques de mise en œuvre et inclure une partie significative des activités suivantes :
- Définir l’approche de gestion des risques
- Conception et mise en œuvre un processus global de gestion des risques
- Définir les critères d’évaluation des risques
- Réaliser une appréciation des risques
- Identifier les actifs, les menaces, les mesures de sécurité existantes, les vulnérabilités et les conséquences (impacts)
- Appréciation des conséquences et vraisemblance des incidents
- Évaluation des options de traitement des risques
- Sélectionner et mettre en œuvre des mesures de la sécurité d’information
- Réaliser des revues de direction des risques
Pour de plus amples informations concernant l’examen, veuillez consulter les Politiques et règlement relatifs à l’examen
Public visé
L’ensemble des professionnels de la sécurité souhaitant maîtriser la norme ISO 27005 :
- Consultants,
- Responsables de la sécurité des systèmes d’information,
- Gestionnaires des risques.
Pré-requis
Connaissances générales de la sécurité des systèmes d’information.
Durée
3 jours (21h) incluant l’EXAMEN en vue de l’obtention de la certification Risk Manager ISO 27005
> Taux de réussite à l’examen de certification 97% en 2022