Cours : ISO 27005 Risk Management Professional Certification («HSR»)

Certification professionnelle

Ce cours est conçu pour aider les participants à conduire une analyse des risques et à implémenter un programme de gestion des risques fondé sur la norme ISO 27005. Il présente également un aperçu détaillé d'AS/NZ:4360 ainsi que les Critères communs (norme ISO 15408) permettant ainsi d'acquérir les connaissances nécessaires pour traiter la gestion des risques liés tant à l'aspect commercial que technique.
Couplés avec EBIOS, logiciel d'évaluation des risques libre, ISO 27005, AS/NZ:4360 et les Critères communs offrent une approche structurée pour examiner la manière dont la sécurité est prise en compte pour la conception, le développement, l'implémentation et le fonctionnement de l'organisation d'un système de l'information.
Cette formation de 5 jours, y compris l'examen de certification officiel, a pour objectif de former à conduire une analyse des risques en utilisant EBIOS et à construire un système de gestion du risque (Risk Management System RMS) ainsi qu'un processus basé sur les normes ISO:27005 et AS/NZ:4360. La documentation et les exercices incluent également des directives pour l'analyse des techniques de sécurité basées sur ISO 15408.

1. 1er jour - révision des normes
   • Historique et introduction aux normes (ISO 27005, AS/NZ:4360, ISO 15408-1/2/3) 
   • Révision détaillée de la norme ISO 27005
   • Révision détaillée de la norme AS/NZ:4360
   • Vue d'ensemble de la norme ISO 15408 Part 1, 2 & 3
2. 2ème jour - Le processus Analyse et Gestion des risques
   • Aperçu du système de gestion des risques (Risk Management System RMS) et de son processus
   • Examen des actifs, classification et analyse
   • Evaluation et analyse des risques
   • Contrôles: types et sélection
   • Reporting, recommandations et risques résiduels
   • Processus organisationnel de gestion des risques et mise à jour du RMS
3. 3ème jour - Les actifs VS risques et contrôles
   • Créer un registre des actifs
   • Effectuer l'analyse des risques
   • Choix des contrôles (basés sur ISO 27001 et 27002)
   • Identifier et suivre les risques résiduels
4. 4ème jour - Analyse et tests des risques en utilisant EBIOS (étude de cas et exercice pratique)
   • Utiliser EBIOS pour conduire une analyse ou une évaluation de la sécurité d'un produit
   • Utiliser EBIOS pour établir un profil de protection pour une application software type
   • Utiliser EBIOS pour établir un profil de protection pour un système d'information
   • Utiliser EBIOS pour conduire l'analyse d'une organisation
   • Fournir une déclaration d'applicabilité en fonction d'une décision de gestion et de prise en compte du risque
5. 5ème jour - Examen
   • Examen de 3 heures menant à la certification «ISO 27005 Risk Management Professionnal». EBIOS a été créé par l'armée française.  La norme «Common Criteria» est approuvée par de nombreux corps d'armée dans le monde, notamment en France, au Canada, aux USA, en Allemagne, en Australie ...