Gérer la sécurité du SI avec les tiers

	See also...  Organization of the courses  Training sessions planning  ISO27001 Lead Implementer (ISMS Lead Implementer)  ISO20000-1 Lead Auditor  ISO27001 Lead Auditor (ISMS Lead Auditor)  Gestion des mesures de sécurité et norme ISO 27002  ISO 27005 Risk Manager (Information Security Risk Manager)
Goals  Duration  Instructor(s)  Pre-requisite for attendants  Teaching method  Related courses  Material  Agenda  Methods of inscription

	Dates of the coming sessions: 23-25 June 2010 (Paris) 20-22 September 2010 (Paris) Dates subject to modification without prior notice. The sessions will only take place if the number of registered attendants is high enough.

La formation portera sur les risques du système d'information et la manière de les apprécier et les analyser avec les tiers..

L'objectif de la formation est d'apprendre à gérer les relations avec les tiers qui interagissent avec la sécurité de l'information de tout organisme qu'ils soient fournisseurs, partenaires ou clients.

Dans une démarche projet ou dans la gestion de services externalisés, il est nécessaire de procéder à une appréciation des risques afin de déterminer les impacts sécurité et les mesures nécessaires pour autoriser l'accès aux informations ou aux moyens de traitement à des tiers.

Ces informations doivent être contractualisées et formalisés par des écrits qui encadreront la sécurité du SI durant le cycle de vie d'un projet ou d'un service entre l'organisme et ses tiers.

La formation explique la démarche de chacune de ces étapes, de la rédaction du Plan d'Assurance Sécurité et Service Level Agreements (SLA) dédiés sécurité aux moyens de contrôle par les audits et les indicateurs constituant le tableau de bord de suivi.

Afin de fournir une méthodologie illustrée pas des référentiels internationaux, la série des normes ISO 2700x et ISO 20000 sont présentées, les exercices et exemples se basent sur l'expérience des consultants et proposeront des situations aussi bien du côté client que fournisseur avec des plans de livrables et un catalogue d'indicateurs sécurité pragmatiques.

3 days

This training is given by:

• Elisabeth Manca (Elisabeth.Manca@hsc.fr) , responsable de la formation
• Hervé Schauer (Herve.Schauer@hsc.fr)
• Raphael Marichez (Raphael.Marichez@hsc.fr)

La formation s'adresse à tous ceux qui doivent mettre en oeuvre un projet ou un service faisant intervenir un tiers soit pour son organisme, soit pour répondre à un besoin client et dont les risques portant sur la sécurité de l'information doivent être gérés et contrôlés : RSSI et leurs équipes, chef de projet, responsable de service opérationnel, Service Delivery Manager...

La méthode pédagogique se base sur les trois points suivants :

• Cours magistral basé sur les normes ISO 20000, ISO 27001, ISO 27002 (anciennement ISO 17799), ISO 27005, ISO 27004 et une démarche projet traditionnelle illustré de nombreux exemples pratiques basés sur le retour d'expérience d'HSC et de nos clients.
• Présentation orale.
• Exercices pratiques individuels et collectifs effectués par les stagiaires, basés sur une étude de cas : Gestion d'un projet et mise en oeuvre d'un service externalisé : appréciation itérative des risques, choix de mesures de sécurité, définition de contrôles (indicateurs, SLA, audit de sécurité)

Compte-tenu des exercices, le nombre de stagiaires est limité à 12.

ISO27001 Lead Auditor (ISMS Lead Auditor)
ISO27001 Lead Implementer (ISMS Lead Implementer)
Gestion des mesures de sécurité et norme ISO 27002
ISO 27005 Risk Manager (Information Security Risk Manager)

La formation est entièrement en français. Les documents fournis aux stagiaires sont le support de cours en français, le cahier d'exercices et les exercices corrigés.

• Accueil des participants
• Présentation générale du cours
• Rappel des objectifs
• Module 1 : Présentation des normes et autres référentiels
• Concepts et vocabulaires de la Sécurité du Système d'Information
• Notions juridiques
• Eléments d'un contrat avec un tiers
• La série ISO 2700x
• Présentation de la norme ISO 27001
• Notion de SMSI (Système de Management de la Sécurité de l'Information)
• Modèle PDCA (Plan-Do-Check-Act)
• Présentation de la norme ISO 27002
• L'organisation des objectifs de sécurité
• Les mesures gérant les relations avec les tiers
• Présentation de la norme ISO 27005
• Les étapes de l'appréciation des risques
• Présentation de la norme ISO 27004
• Définition et gestion d'indicateurs
• Autres référentiels et méthodes
• Module 2 : Méthodologie pour la gestion de projet
• Rappels des étapes de la conduite d'un projet
• Rôles et responsabilités
• Etude préalable
• Cahier des charges intégrant les besoins, contraintes et objectifs de la SSI
• Définir la sécurité et décrire les techniques souhaitées
• Lancement du projet :
• Mener une appréciation des risques avec le tiers
• Choisir des mesures de sécurité pour réduire les risques
• Rédiger un Plan Assurance Sécurité (PAS)
• Ingénierie
• Chapitres Sécurité du Dossier d'Architecture
• Dossier de Tests intégrant les moyens de contrôle des mesures de sécurité
• Réalisation
• Mettre en place les mesures de sécurité
• Suivi de l'implémentation des mesures
• Clôture
• Recette Sécurité (VABF et VSR)
• Module 3 : Méthodologie pour la mise en oeuvre d'un service
• Rappels des éléments normalisés par l'ISO 20000 : processus
• Fonctions, rôles et responsabilités
• Rédaction du plan de service
• Mener une appréciation des risques et choisir des mesures de sécurité
• Définir des SLA « sécurité »
• Planifier les réunions de suivi
• Prévoir un programme d'audit
• Structurer la démarche de traitement des incidents de sécurité
• Gestion du quotidien
• Renouvellement, terminaison et transfert du service
• Module 4 : Définir des indicateurs de sécurité utiles
• Définir des indicateurs et SLA
• Organiser leur mise en oeuvre
• Concevoir un tableau de bord
• Interpréter les résultats
• Communiquer
• Module 5 : Gérer un audit de sécurité
• Besoins : respect des engagements et efficacité
• Contractualiser un programme d'audit
• Organiser un audit
• Définition des objectifs et du champ
• Choix des auditeurs et audités
• Réalisation de l'audit
• Gérer les résultats de l'audit

For registering an HSC course, please contact our training department by phone : +33 141 409 704 or by email at formations@hsc.fr, with first and last name of every student, your postal address and your company VAT number. Thoses informations enable us to send your the training agreement. The training agreement must be return agreed with signature and company stamp with you purchase order, at least 6 days before the course. The purchase order should precise your billing address and our payment regulations : net 30 days from our invoice date. Registration is completed as soon as we received those two documents.