Présentation la certification ISO 27001 Lead Auditor
La certification ISO 27001 permet de valider des futurs auditeurs aptes à faire des audits ISO 27001.
La
norme ISO 27001 décrit les exigences de sécurité en matière de Système
de Management de Sécurité de l'Information (SMSI). Cette norme promeut
la mise en place d'un modèle PDCA (Plan Do Check Act) à travers 11
thèmes sécurité constituant les 11 chapitres de l'annexe de la norme.
Les 11 chapitres sont les suivants :
- Politique de sécurité
- Oganisation de la sécurité
- Classification et contrôle des actifs
- Sécurité du personnel
- Sécurité physique et de l'environnement
- Exploitation et réseaux
- Contrôle d'accès logique
- Développement et maintenance des systèmes
- Gestion des incidents
- Continuité d'activité
- Conformité
Orientation
Les
certifications ISO 27001 permettent d'avoir une très bonne
compréhension d'un Système de Management de la Sécurité de
l'Information. De fait, cette norme est souvent utilisée comme outil de
référence pour vérifier la concordance du développement des activités
sécurité d'une organisation avec l'état de l'art.
Pourquoi la certification ISO 27001
L'entreprise
se devrait de développer son SMSI de manière cohérente et en référence
aux normes internationales. Il est donc nécessaire de maîtriser le
contenu de ces normes pour participer à leur promotion au sein de
l'entreprise.
Cette norme apparaît aujourd'hui comme incontournable en matière de sécurité.
L'orientation ISO 27001
En
tant que norme, ISO 27001 est un reccueil d'exigences pas
forcément très digestes. En ce sens, une certification ISO 27001 (Lead
Audior ou Lead Implementor) passe par une formation pour bien maîtriser
tous les concepts.
La difficulté
La
nome ISO 27001 présente des concepts très généralistes et pas du
tout techniques. Elle est destinée à un public orienté RSSI ou chef de
projet. La difficulté est modérée dès lors que les principes de base
d'une politique de sécurité sont maîtrisés.
L'accès à l'examen
Aucune
restriction n'existe pour s'inscrire à une formation certifiante ISO
27001. Néanmoins il convient d'avoir un minimum d'expérience en matière
de sécurité des systèmes d'informations.
L'examen
L'examen
dure 3h30 et est constitué de plusieurs parties mélangeant questions
/réponses, étude de cas, mise en situation, recherche normative...
La
réponse arrive plusieurs semaines après le passage de l'examen par
e-mail. La méthode de calcul de succès est propre à l'organisme et
n'est pas connue.
Mon expérience de la préparation de cette certification
J'ai
assisté à la formation ISO 27001 Lead Auditor HSC délivrée par
Alexandre Fernadez-Toro. Cette formation était passionnante et très
riche d'enseignements sur la façon dont un SMSI doit être mis en oeuvre.
L'exament a lieu la dernière demie-journée de la formation.