ISO 27001 Lead Auditor
OBJECTIFS :
- Connaître le fonctionnement d’un Système de Management de la Sécurité de l’Information (SMSI) conforme à la norme ISO /CEI 27001
- Connaître la corrélation entre la norme ISO/CEI 27001 et la norme ISO/CEI 27002, ainsi qu’avec d’autres normes et cadres réglementaires
- Être en mesure de planifier, diriger et assurer le suivi d’un audit de système de management conformément à la norme ISO 19011
- Savoir rédiger des rapports d’audit et assurer le suivi d’un audit en conformité avec la norme ISO 19011
- Savoir diriger un audit et une équipe d’audit
- Savoir interpréter les exigences d’ISO/CEI 27001 dans le contexte d’un audit du SMSI
PROGRAMME DE FORMATION :
Introduction au Système de Management de la Sécurité de l’Information et à la norme ISO/CEI 27001
- Objectifs et structure de la formation
- Cadres normatifs et règlementaires : organisation et principes de base de l’ISO, système de management intégré, normes en sécurité de l’information, avantages de l’ISO 27001
- Processus de certification : schéma de certification, autorité d’accréditation, organisme de certification
- Principes fondamentaux du Système de Management de la Sécurité de l’Information
- Définition et mise en œuvre d’un SMSI
Principes, préparation et déclenchement de l’audit
- Principes et concepts fondamentaux d’audit : normes d’audit, types d’audits, acteurs, objectifs et critères de l’audit, audit combinée
- Approche d’audit fondée sur les preuves
- Approche d’audit fondée sur le risque
- Déclenchement de l’audit : revue de la demande, nomination d’un responsable, validation des objectifs, du périmètre et des critères d’audit
- Étape 1 de l’audit : objectif, visite des lieux, entretiens, revue de la documentation, rapport d’audit
- Préparation de l’étape 2 de l’audit (audit sur site) : préparation du plan d’audit, assignation des auditeurs, recours aux experts techniques, préparation des documents de travail, utilisation d’une liste de contrôle, mise en place d’une norme de documentation
- Étape 2 de l’audit (première partie) : conduire la réunion d’ouverture, collecter des informations, conduire les tests d’audits avec les procédures appropriées, rédiger des constats d’audits et des rapports de non-conformité
Activités d’audit sur site
- Étape 2 de l’audit (deuxième partie) : rédiger des constats d’audit et de non-conformité, exécuter la revue qualité des constats d’audit
- Communication pendant l’audit : comportement pendant les visites sur site, communication durant l’audit, réunions de l’équipe d’audit, rôles des guides et observateurs, gestion des conflits, aspects culturels de l’audit, communication avec la direction
- Rédaction des plans de tests d’audit
- Rédaction des constats d’audit et des rapports de non-conformité
Clôture de l’audit
- Documentation de l’audit et revue de qualité de l’audit : documents de travail, enregistrements d’audits, revue de qualité, documentation de la revue de qualité
- Clôture de l’audit : préparation des conclusions, discussion des conclusions avec l’audité, réunion de clôture, rapport d’audit, audit de suivi, décision de certification, contenu d’un certificat
- Évaluation des plans d’actions par l’auditeur : dépôt des plans d’actions par l’audité, contenu des plans d’action, évaluation des plans d’action
- Suite de l’audit initial : activité de surveillance, audit de surveillance, audit de renouvellement, utilisation des marques déposées ISO
- Management d’un programme d’audit interne : particularités de l’audit interne, indépendance et impartialité, le rôle de la fonction de l’audit interne, ressources et outils de l’audit interne, surveillance du programme
- Compétence et évaluation des auditeurs : qualification, compétences des responsables d’équipes d’audit, schéma de certification, certification, maintien de la certification
Examen de certification
- Révision des concepts en vue de la certification
- Examen blanc
- Passage de l’examen écrit de certification en français qui consiste à répondre à 12 questions en 3 heures
- Un score minimum de 70% est exigé pour réussir l’examen
- Il est nécessaire de signer le code de déontologie du PECB afin d’obtenir la certification
- Les candidats sont autorisés à utiliser les supports de cours et les normes ISO/IEC 27001 et ISO/IEC 27002 qui leurs seront remises
- En cas d’échec ils bénéficient d’une seconde chance pour passer l’examen dans les 12 mois suivant la première tentative
- L’examen couvre les domaines de compétences suivants : Domaine 1 : Principes et concepts fondamentaux du SMSI – Domaine 2 : Le SMSI – Domaine 3 : Principes et concepts fondamentaux de l’audit – Domaine 4 : Préparation d’un audit ISO/CEI 27001 – Domaine 5 : Réalisation d’un audit ISO/CEI 27001 – Domaine 6 : Clôturer un audit ISO/CEI 27001 – Domaine 7 : Gérer un programme d’audit ISO/CEI 27001
INFORMATIONS COMPLÉMENTAIRES :
PUBLIC VISÉ
- Chefs de projet
- Consultants
- Architecte technique
- Toute personne souhaitant conduire des audits de conformité ISO 27001
- Toute personne responsable du maintien de la conformité aux exigences du SMSI
PRÉ-REQUIS
- Connaitre le guide d’hygiène sécurité de l’ANSSI
RESSOURCES
- Supports pédagogiques
- 30% de théorie
- 70% de pratique
MODALITÉS D’ACCÈS
- Présentiel
- A distance
- Interentreprises
- Intra-entreprise
MÉTHODES PÉDAGOGIQUES
- Apport magistral et interactivité
- Travaux pratiques
ÉVALUATION