Objectifs
- Maîtriser la conduite d’un audit relatif à un système de management de la sécurité de l’information.
- Appréhender les exigences de l’ISO 27001 et acquérir les connaissances nécessaires à l’évaluation d’un système de management de la sécurité de l’information.
- Connaître les notions et principes spécifiques à la gestion de la sécurité de l’information (ISO 27002).
- Identifier les objectifs de l’audit interne ou de l’audit de certification.
- Savoir préparer, conduire et conclure un audit de façon pertinente et efficace, conformément à l’ISO 19011.
- Maîtriser les techniques de communication propres à l’audit.
- Gérer l’après-audit.
- Devenir Lead Auditor certifié.
Programme détaillé
- Accueil des participants et présentation de la formation « Lead Auditor ISO 27001 ».
- Présentation de la famille des normes ISO 2700X.
- Exposé sur les exigences de l’ISO 27001, description de la notion de Système de Management de la Sécurité de l’Information (SMSI), présentation du modèle Plan, Do, Check, Act (PDCA), définition de la notion de risque et des objectifs à atteindre.
- Présentation du référentiel d’audit ISO 27001, description des points de contrôles et des éléments techniques à apprécier conformément à l’Annexe A de l’ISO 27001.
- Exposé des lignes directrices de l’audit définies dans l’ISO 19011.
- Présentation du déroulement d’un audit : différentes phases pour la réalisation d’un audit (de la programmation à l’après-audit) et supports documentaires accompagnant chaque phase (programme, plan, rapport, fiches d’écarts).
- Ateliers personnalisés : mise en pratique avec l’étude de documents, la réalisation d’exercices, l’élaboration de supports, la correction de cas pratiques.
- Exposé sur la communication, clé du succès de l’audit : différentes attitudes, déontologie, conduite d’un entretien, gestion de la communication orale et recueil écrit des informations, animation d’une réunion de clôture.
- Entraînement à la pratique de l’audit autour des thèmes :
- audit de procédures (conduite de l’audit, prise de notes, gestion du temps),
- réunion d’ouverture (présentation du plan d’audit, organisation),
- réunion de clôture (élaboration de conclusions d’audit, restitution des résultats de l’évaluation, présentation des écarts et accompagnement dans la décision d’actions).
- Entraînement pour corriger l’attitude de l’auditeur (autour des 3 items : savoir, savoir-faire, savoir-être, et/ou avec une appréciation de ce qui est acquis, à compléter, à approfondir), comprendre les difficultés rencontrées lors de l’audit, éviter les pièges, maîtriser la communication, être efficace.
- Présentation de l’audit tierce partie : environnement normatif et procédure de certification.
- Préparation à l’examen de certification.
- Conclusion et bilan de la formation (appréciation et positionnement des participants sur leurs acquis initialement, en cours et en fin de formation).
Pédagogie et Supports
Des phases pratiques et théoriques sont organisées en alternance, avec pour supports, les outils pédagogiques suivants :
- Cours théoriques : définitions, notions clés, acquisitions méthodologiques
- Etude de cas
- Exercices théoriques et pratiques
- Supports visuels et documentaires
- Prêts de normes ISO
Examen de certification
L’examen « PECB Certified ISO/IEC 27001 Lead Auditor » couvre les domaines de compétences suivants :
Domaine 1 : Principes et concepts fondamentaux d’un système de management de sécurité de l’information (SMSI)
Domaine 2 : Système de management de la sécurité de l’information (SMSI)
Domaine 3 : Concepts et principes fondamentaux de l’audit
Domaine 4 : Préparation d’un audit ISO/IEC 27001
Domaine 5 : Réalisation d’un audit ISO/IEC 27001
Domaine 6 : Clôture d’un audit ISO/IEC 27001
Domaine 7 : Gestion d’un programme d’audit ISO/IEC 27001
Après avoir réussi l’examen, vous pouvez demander l’une des certifications mentionnées dans le tableau ci-dessous. Un certificat vous sera délivré si vous remplissez toutes les exigences relatives à la certification sélectionnée. Pour plus d’informations sur les certifications IEC 27001 et le processus de certification PECB, veuillez consulter les Politiques et règlement de certification
Les exigences relatives aux certifications « Auditor » de PECB sont les suivantes :
ualification | Examen | Expérience professionnelle | Expérience d’audit/évaluation du SM | Autres exigences |
PECB Certified ISO/IEC 27001 Provisional Auditor | Examen PECB Certified ISO/CEI 27001 Lead Auditor ou équivalent | Aucune | Aucune | Signer le Code de déontologie de PECB |
PECB Certified ISO/IEC 27001 Auditor | Examen PECB Certified ISO/CEI 27001 Lead Auditor ou équivalent | Deux années : Une année d’expérience en management de la sécurité de l’information | Activités d’audit totalisant 200 heures | Signer le code de déontologie de PECB |
PECB Certified ISO/IEC 27001 Lead Auditor | Examen PECB Certified ISO/CEI 27001 Lead Auditor ou équivalent | Cinq années : Deux années d’expérience en management de la sécurité de l’information | Activités d’audit totalisant 300 heures | Signer le Code de déontologie de PECB |
PECB Certified ISO/IEC 27001 Senior Lead Auditor | Examen PECB Certified ISO/CEI 27001 Lead Auditor ou équivalent | Dix années : Sept années d’expérience en management de la sécurité de l’information | Activités d’audit totalisant 1,000 heures | Signer le Code de déontologie de PECB |
Remarque : Les personnes certifiées PECB qui possèdent à la fois les titres de Lead Implementer et de Lead Auditor sont qualifiées pour la Certification PECB Master respective, à condition qu’elles aient passé 4 examens Foundation supplémentaires liés à ce programme. Pour plus d’informations sur les examens Foundation et sur les exigences Master, reportez-vous au lien suivant : https://pecb.com/en/master-credentials.
Pour être considérées comme valides, il convient que les activités d’audit suivent les bonnes pratiques d’audit et incluent les activités suivantes :
- Planification de l’audit
- Entretien d’audit
- Gestion d’un programme d’audit
- Rédaction des rapports d’audit
- Rédaction des rapports de non-conformité
- Rédaction des documents de travail d’audit
- Revue de la documentation
- Audit sur site
- Suivi des non-conformités
- Gestion d’une équipe d’audit
Pour de plus amples informations concernant l’examen veuillez consulter Politiques et règlement relatifs à examen
Public visé
L’ensemble des professionnels de la Sécurité, souhaitant maîtriser la conduite de l’audit et la démarche de certification afin de préparer ou réaliser des audits internes ou de conformité ISO 27001 :
- Membres des équipes de contrôle et d’audit interne.
- Consultants et auditeurs.
- Responsables de la sécurité des systèmes d’information.
Pré-requis
Connaissances générales de la sécurité des systèmes d’information ou expérience des audits.
La formation peut être préalable ou complémentaire à la certification « Lead Implementer ISO 27001 ».
La certification est accessible sans restriction, et donne lieu à l’obtention du grade provisionnal auditor, auditor, lead auditor et lead auditor senior selon expérience.
Formation disponible en E-LEARNING : ISO/IEC 27001 Lead Auditor en français et ISO/IEC 27001 Lead Auditor en anglais
Durée
5 jours (35h) incluant l’EXAMEN en vue de l’obtention de la certification Lead Auditor ISO 27001
Lieux
- Paris