Introduction à la formation ISO 27001 Lead Auditor
Rappels des concepts fondamentaux de cybersécurité : menace, vulnérabilité, protection…
Notion de risque : analyse, traitement
Cadres normatifs, réglementaires et légaux de la sécurité de l’information
Panorama, historique et terminologie des normes ISO 2700x
Relations avec la gouvernance IT, ITIL, COBIT, ISO 20000
Compétences clés d’un auditeur
La norme ISO/IEC 27001:2013
Notion de Système de Management de la Sécurité de l’Information (SMSI)
Propriétés et objectifs des SMSI
Modèle PDCA (Plan, Do, Check, Act), reformulation de 2013 « établir, implémenter, maintenir, améliorer »
Appréciation et traitement du risque, méthodologies possibles (type ISO 27005)
Mise en place, surveillance, amélioration et documentation du SMSI
Rôles et responsabilités
Revues de direction
Démarche d’amélioration continue du SMSI
Présentation de la norme ISO 27002 : structure, exigences
Panorama et bonnes pratiques pour les mesures de sécurité
Processus de certification ISO 27001
Audit initial
Audits de surveillance
Audit de renouvellement
Référentiel d’audit ISO 27001
Principes et concepts fondamentaux de l’audit
Catégories d’audits
Points de contrôle et éléments techniques à apprécier
Présentation de la démarche d’audit ISO 19011
Etapes clés, lignes directrices de l’audit et priorités
Remarques pour l’application aux audits de conformité ISO 27001
Supports documentaires
Préparation et déclenchement d’un audit ISO 27001
Programme d’audit : objectifs, mise en œuvre…
Approche fondée sur les preuves
Préparation d’un audit de certification ISO 27001
Audit documentaire du SMSI
Réunion d’ouverture
Activités pour la conduite d’un audit ISO 27001 sur site
Communication pendant l’audit
Procédures d’audit : observation, revue documentaire, entretiens, techniques d’échantillonnage, vérification technique, corroboration et évaluation
Rédaction des plans de tests d’audit
Formulation des constats d’audit : critères et preuves, classification
Rédaction des rapports de non-conformité
La communication, élément clé de l’audit
Différentes attitudes, déontologie
Techniques et bonnes pratiques de conduite d’entretiens
Gestion de la communication orale
Recueil écrit d’informations
Communication entre auditeurs
Clôture et suivi d’un audit ISO 27001
Documentation et revue de qualité
Réunion de clôture : élaboration des conclusions, restitution des résultats, présentation des écarts et accompagnement dans la prise de décision d’actions
Evaluation des plans d’actions correctifs
Programme de gestion d’audit interne
Evaluation des auditeurs
Entraînements à la pratique de l’audit
Conduite de l’audit, prise de notes, gestion du temps…
Simulation d’une réunion d’ouverture, d’une réunion de clôture
Passage de l’examen de certification ISO 27001 Lead Auditor
Révisions, exercices et correction commentée
Mises en situation, jeux de rôle auditeur-audité
Trucs et astuces pour réussir l’examen
Examen écrit, disponible en français, 3h30 de temps