OBJECTIF :

Parmi toutes les tâches qui incombent aux équipes en charge de la sécurité des systèmes d’information dans les organismes privés ou publics, celle qui consiste à bâtir une politique de sécurité cohérente prenant en compte les aspects humains, organisationnels et juridiques est certainement la plus difficile. En effet, s’il existe de nombreuses méthodes d’audit pour l’évaluation des risques et des vulnérabilités et la norme ISO/IEC 15408 (Critères Communs) en matière de certification du niveau de protection procuré par les outils utilisés, le domaine de la définition de la politique de sécurité était encore en friche jusqu’à la naissance de la norme ISO/IEC 17799.

Cette formation permet notamment :

· d’évaluer concrètement les apports de la norme ISO 17799 pour votre organisme,

· de découvrir la stratégie permettant d’élaborer votre propre politique de sécurité,

· d’appréhender les aspects organisationnels, sociaux et juridiques de la sécurité des systèmes d’information,

· d’aborder les liens existant entre cette démarche et la démarche qualité (ISO 9001 :2000),

· de disposer d’informations sur la genèse de cette norme, ses liens avec la norme de certification BS 7799-2 et avec l’ISO 15408 (Critères Communs),

· d’étudier le travail à réaliser pour mettre en œuvre un ISMS (système de gestion de sécurité de l’information),

· de découvrir les 127 recommandations (ou règles) qui composent la norme ISO 17799 et les critères de certification définis dans la norme BS 7799-2 et les documents complémentaires d’application.

A QUI S’ADRESSE CETTE FORMATION :

Cette formation est destinée à tous ceux qui interviennent dans le processus de sécurisation des systèmes d’information et qui ont besoin de connaître le périmètre des normes ISO/IEC 17799 et BS 7799-2, leurs modalités de mise en application et les apports substantiels qu’elles apportent dans la démarche de construction de la politique de sécurité et de rédaction des procédures d’exploitation et des guides et chartes d’utilisation : responsables de la sécurité des systèmes d’information, directeurs des systèmes d’information, responsables qualité et sécurité, administrateurs de la sécurité informatique, directeurs informatiques, etc.

PROGRAMME :

Durée : 2 jours.

Formation animée par Olivier LUXEREAU, Consultant expert en sécurité des systèmes d’information, membre de la commission de normalisation CN SSI " Sécurité des Systèmes d'Information" de l’AFNOR.

Rappel de l’environnement SSI (les enjeux et les objectifs de la sécurité informatique et la nature des risques).

· La norme ISO/IEC 17799 :

Ø De la BS 7799 à l’ISO/IEC 17799.

Ø Le standard BS 7799-1

Ø L’introduction de l’ISO 17799.

· La norme BS 7799-2 :

Ø Le référentiel de certification BS 7799-2 :2002.

Ø L’ISMS, le modèle PDCA et les liens avec la norme ISO 9001 :2000.

· Application de la norme ISO/IEC 17799 : Une approche en dix domaines, 35 objectifs de sécurité et 127 contrôles.

Ø La politique de sécurité.

Ø Organisation de la sécurité.

Ø Classification et contrôle des actifs.

Ø Eléments de sécurité liés aux ressources humaines.

Ø Sécurité physique et sécurité de l’environnement.

Ø Exploitation et réseaux.

Ø Contrôle des accès logiques.

Ø Développement et maintenance des systèmes.

Ø Continuité de service.

Ø Conformité.

· Les documents produits :

Ø Le modèle et les politiques de sécurité, les procédures et les guides d’exploitation.

· Le cadre juridique de la S.S.I

Ø La charte d’utilisation des ressources informatiques.

Ø Les lois, jurisprudences

et aspects contractuels.