ISO 27005 Risk Manager ou Information Security Risk Manager

	Voir aussi...  Organisation des formations  Planning des formations inter-entreprises  Présentation générale de nos prestations ISO 27001  Gestion des risques avancée  ISO 27001 Lead Implementer  ISO 27001 Lead Auditor  Gestion des mesures de sécurité et norme ISO 27002  Certification par LSTI
Objectifs  Reconnaissance internationale  Durée  Formateur(s)  Public visé et prérequis  Méthode pédagogique  Cours associés  Support  Plan  Modalités d'inscription

Dates des prochaines sessions : 22-24 avril 2013 (Paris) 13-15 mai 2013 (Luxembourg) 22-24 mai 2013 (Toulouse) 3-05 juin 2013 (Paris) 26-28 juin 2013 (Nice) 4-06 septembre 2013 (Paris) 14-16 octobre 2013 (Paris) 25-27 novembre 2013 (Paris) 16-18 décembre 2013 (Paris) Dates soumises à modification sans préavis. Les sessions n'auront lieu que si le nombre d'inscrits est suffisant.

Une des caractéristiques fortes de l'ISO 27001 est de spécifier une organisation de la sécurité des systèmes d'information qui impose une approche par la gestion des risques. Le guide ISO 27005 est donc le plus important de la série ISO 27000, en détaillant concrètement une méthode de gestion des risques liés à la sécurité de l'information. La norme ISO 27005 est utilisable dans tout type de contexte, mais en appliquant les fondamentaux de l'ISO 27001 elle applique les volontés de la direction et donne une méthode de gestion des risques dans la durée, au contraire des habitudes de gestion des risques au coup par coup avec EBIOS ou Mehari.

L'ISO 27005 est la première norme à appliquer l'ISO 31000, la norme générique de gestion des risques applicable à tous les métiers, de la gestion des risques opérationnels à la gestion des risques industriels en passant par la gestion des risques dans la santé.

La formation certifiante "ISO 27005 Risk Manager" traite de la norme ISO 27005 et de la gestion du risque de sécurité de l'information en général. Cette formation vous permet de mener de bout en bout un processus de gestion du risque et de gérer son cycle de vie.

En particulier, les objectifs de la formation sont les suivants :

• Apprendre à implémenter la norme ISO 27005 et autres méthodes dans toutes circonstances.
• Décrire le processus de gestion des risques et son cycle de vie.
• Donner les moyens au stagiaire de manager et réaliser une appréciation des risques.
• Communiquer les ressources et les outils disponibles afin de réaliser une appréciation des risques optimale.
• Préparer l'apprenant à l'examen en fin de session.

La formation HSC et l'examen LSTI sont reconnus internationalement au même niveau et au même titre que d'autres formations et examens disponibles sur le marché.
Voir la page Certification par LSTI.

La norme ISO 27005 "Information Security Risk Management" a été publiée le 4 juin 2008 par l'ISO. Cette démarche détaillée de gestion de risques pour la sécurité de l'information est le consensus international sur le sujet. La norme est pragmatique et complète, utilisable dans toutes les situations, et recommandée dans le cadre de la mise en place d'un SMSI selon la norme ISO 27001. Elle s'inspire des méthodes existantes, en premier lieu de la méthode EBIOS v2 de la DCSSI, mais aussi des méthodes australiennes ou britanniques. La formation Information Security Risk Manager d'HSC est équivalente à une formation EBIOS ou une formation Mehari en utilisant comme base d'enseignement la norme ISO 27005 qui fait autorité au niveau international.

Pour une introduction à la norme ISO 27005 consultez l'article publié dans GlobalSecurityMag en juillet 2008.
http://www.hsc.fr/ressources/articles/globalsecuritymag_iso27005/

3 jours

La formation est dispensée par :

• Hervé Schauer (Herve.Schauer@hsc.fr)
• Certifié ISO27001 Lead Auditor et Lead Implementer par LSTI
• Certifié ISO27005 Risk Manager par LSTI
• Certifié CISSP, ISC2
• Certifié GSLC (GIAC Security Leadership Certification) par GIAC
• Participant à la normalisation en sécurité à l'AFNOR depuis 1990 et à la CN27 depuis sa création en 1993
• Membre du groupe ISO 27001 du Clusif
• Animateur du Club 27001
• Mikael Smaha (Mikael.Smaha@hsc.fr)
• Certifié ISO27001 Lead Auditor par LSTI
• Certifié ISO27001 Lead Implementer par LSTI
• Certifié IS027005 Risk Manager par LSTI
• Julien Levrard (Julien.Levrard@hsc.fr)
• Certifié ISO27001 Lead Auditor par KPMG Audit Plc et LSTI
• Certifié ISO27001 Lead Implementer par LSTI
• Certifié ISO27005 Risk Manager par LSTI
• Certifié ITIL V3
• Certifié CISA par ISACA
• Certifié QSA par PCI Council
• Quentin Gaumer (Quentin.Gaumer@hsc.fr)
• Certifié CISSP - Associate of (ISC)²
• Certifié ISO27001 Lead Auditor par LSTI
• Certifié ISO27001 Lead Implementer par LSTI
• Certifié IS027005 Risk Manager par LSTI
• Christophe Renard (Christophe.Renard@hsc.fr)
• Certifié ISO27001 Lead Auditor par LSTI
• Certifié ISO27001 Lead Implementer par LSTI
• Certifié IS027005 Risk Manager par LSTI
• Certifié GSEC (Security Essencials) et GWEB (Web Application Defenders) par GIAC
• Thomas Le Poetvin (Thomas.Le-Poetvin@hsc.fr)
• Certifié ISO27001 Lead Auditor par LSTI
• Certifié ISO27001 Lead Implementer par LSTI
• Certifié ISO27005 Risk Manager par LSTI
• Certifié ISO22301 Lead Implementer par LSTI

La formation "ISO 27005 Risk Manager" s'adresse à toute personne souhaitant maîtriser la norme ISO 27005 ou visant la certification ISO 27005. Cette formation s'adresse à toute personne devant réaliser une appréciation des risques informatiques portant en particulier sur les risques de sécurité informatique. Cette formation s'inscrit parfaitement dans le cadre d'un processus d'implémentation de la norme ISO 27001. Cette formation convient parfaitement aux RSSI et aux consultants en SSI. Pour assister à cette formation, il est recommandé de posséder des connaissances en sécurité informatique.

La méthode pédagogique se base sur les cinq points suivants :

• cours magistral basé sur la norme ISO 27005, des références aux normes ISO 27001, ISO 31000 et ISO 31010 pourront être faites ;
• bon usage des normes et méthodes à disposition (norme ISO 27002, méthodes d'analyse des risques EBIOS et MEHARI, etc.) ;
• construction d'un tableau d'appréciation des risques exploitable à partir d'un tableur de type Excel ;
• des exemples et études de cas tirés de cas réels ;
• des exercices réalisés individuellement ou en groupe, y compris un exercice chaque soir à faire chez soi.

Gestion des risques avancée
ISO 27001 Lead Auditor
ISO 27001 Lead Implementer
Gestion des mesures de sécurité et norme ISO 27002
Formation RSSI

La formation est entièrement en français. Les documents fournis aux stagiaires sont le support de cours en français, le cahier d'exercices et les exercices corrigés.

Introduction :

• La série ISO 2700X
• ISO 27005
• Les autres méthodes

• Identification et valorisation d'actifs
• Menaces et vulnérabilités
• Identification du risque et formulation sous forme de scénarios
• Estimation des risques
• Vraisemblance et conséquences d'un risque
• Évaluation des risques
• Les différents traitements du risque
• Acceptation des risques
• Notion de risque résiduel

• Introduction à la norme ISO 27005
• Gestion du processus de management du risque
• Cycle de vie du projet et amélioration continue (modèle PDCA)
• Établissement du contexte
• Identification des risques
• Estimation des risques
• Évaluation des risques
• Traitement du risque
• Acceptation du risque
• Surveillance et réexamen du risque
• Communication du risque

• Réalisation d'une appréciation de risque complète
• Travail de groupe
• Simulation d'entretien avec un responsable de processus métier
• Mise à disposition d'un ordinateur portable pour mener l'étude
• Présentation orale des résultats par chaque groupe
• Revue des résultats présentés

• Les erreurs courantes: les connaître et s'en prémunir
• Les acteurs du management du risque
• Outillage
• Recommandations générales
• Préparation à l'examen

Pour toute inscription aux formations HSC, contactez notre service formation par téléphone au (33)1 41 40 97 04 ou par courriel à formations@hsc.fr, en nous transmettant les noms et prénoms des stagiaires, votre adresse postale et le numéro de TVA intra-communautaire de votre société. Ces renseignements permettent d'établir la convention de formation.
La convention de formation est à retourner signée, tamponnée et accompagnée d'un bon de commande de votre organisme, au plus tard 6 jours ouvrés avant la formation. Le bon de commande doit indiquer votre adresse de facturation et nos conditions de règlement : 30 jours nets date d'émission de facture, envoyée après la formation.
L'inscription est confirmée dès la réception de ces deux documents.