Plan du cours

Domaine 1 - Sécurité de l'information Governance (24%)

Établir et maintenir un cadre de gouvernance de la sécurité de l'information et des processus de soutien pour s'assurer que la stratégie de sécurité de l'information est alignée sur les buts et objectifs de l'organisation, que les risques liés à l'information sont gérés de manière appropriée et que les ressources du programme sont gérées de manière responsable.

  • 1.1 Établir et maintenir une stratégie de sécurité de l'information alignée sur les buts et objectifs de l'organisation afin de guider la mise en place et la gestion continue du programme de sécurité de l'information.
  • 1.2 Établir et maintenir un cadre de gouvernance de la sécurité de l'information pour guider les activités qui soutiennent la stratégie de sécurité de l'information.
  • 1.3 Intégrer la gouvernance de la sécurité de l'information dans la gouvernance de l'entreprise pour s'assurer que les buts et objectifs de l'organisation sont soutenus par le programme de sécurité de l'information.
  • 1.4 Établir et maintenir des politiques de sécurité de l'information pour communiquer les directives de la direction et guider l'élaboration de normes, de procédures et de lignes directrices.
  • 1.5 Élaborer des analyses de rentabilité pour soutenir les investissements dans la sécurité de l'information.
  • 1.6 Identifier les influences internes et externes à l'organisation (par exemple, la technologie, l'environnement commercial, la tolérance au risque, la situation géographique, les exigences légales et réglementaires) afin de s'assurer que ces facteurs sont pris en compte dans la stratégie de sécurité de l'information.
  • 1.7 Obtenir l'engagement de la direction générale et le soutien des autres parties prenantes afin de maximiser les chances de réussite de la mise en œuvre de la stratégie de sécurité de l'information.
  • 1.8 Définir et communiquer les rôles et les responsabilités en matière de sécurité de l'information dans l'ensemble de l'organisation afin d'établir clairement les responsabilités et les lignes d'autorité.
  • 1.9 Établir, contrôler, évaluer et communiquer des mesures (par exemple, des indicateurs d'objectifs clés [KGI], des indicateurs de performance clés [KPI], des indicateurs de risques clés [KRI]) afin de fournir à la direction des informations précises sur l'efficacité de la stratégie de sécurité de l'information.

Domaine 2 - Risque lié à l'information Management et conformité (33 %)

Gérer les risques liés à l'information à un niveau acceptable afin de répondre aux exigences de l'organisation en matière d'activité et de conformité.

  • 2.1 Établir et maintenir un processus d'identification et de classification des actifs informationnels afin de s'assurer que les mesures prises pour protéger les actifs sont proportionnelles à leur valeur commerciale.
  • 2.2 Identifier les exigences légales, réglementaires, organisationnelles et autres applicables pour gérer le risque de non-conformité à des niveaux acceptables.
  • 2.3 Veiller à ce que des évaluations des risques, des évaluations de la vulnérabilité et des analyses des menaces soient effectuées périodiquement et de manière cohérente afin d'identifier les risques pesant sur les informations de l'organisation.
  • 2.4 Déterminer et mettre en œuvre les options appropriées de traitement des risques afin de les ramener à des niveaux acceptables.
  • 2.5 Évaluer les contrôles de sécurité de l'information pour déterminer s'ils sont appropriés et s'ils permettent de réduire efficacement les risques à un niveau acceptable.
  • 2.6 Intégrer la gestion des risques liés à l'information dans les processus opérationnels et informatiques (par exemple, développement, achats, gestion de projet, fusions et acquisitions) afin de promouvoir un processus cohérent et complet de gestion des risques liés à l'information dans l'ensemble de l'organisation.
  • 2.7 Surveiller les risques existants afin de s'assurer que les changements sont identifiés et gérés de manière appropriée.
  • 2.8 Signaler les cas de non-conformité et les autres changements concernant les risques liés à l'information à la direction compétente afin de faciliter le processus de prise de décision en matière de gestion des risques.

Domaine 3 - Développement et gestion du programme de sécurité de l'information Management (25 %)

Établir et gérer le programme de sécurité de l'information en conformité avec la stratégie de sécurité de l'information.

  • 3.1 Établir et maintenir le programme de sécurité de l'information en conformité avec la stratégie de sécurité de l'information.
  • 3.2 Assurer l'alignement du programme de sécurité de l'information sur les autres fonctions de l'entreprise (par exemple, les ressources humaines [RH], la comptabilité, les achats et l'informatique) afin de favoriser l'intégration avec les processus de l'entreprise.
  • 3.3 Identifier, acquérir, gérer et définir les besoins en ressources internes et externes pour exécuter le programme de sécurité de l'information.
  • 3.4 Établir et maintenir des architectures de sécurité de l'information (personnes, processus, technologie) pour exécuter le programme de sécurité de l'information.
  • 3.5 Établir, communiquer et tenir à jour les normes, procédures, lignes directrices et autres documents de l'organisation en matière de sécurité de l'information, afin de soutenir et d'orienter le respect des politiques de sécurité de l'information.
  • 3.6 Établir et maintenir un programme de sensibilisation et de formation à la sécurité de l'information afin de promouvoir un environnement sûr et une culture de la sécurité efficace.
  • 3.7 Intégrer les exigences en matière de sécurité de l'information dans les processus organisationnels (par exemple, le contrôle des changements, les fusions et acquisitions, le développement, la continuité des activités, la reprise après sinistre) afin de maintenir la base de sécurité de l'organisation.
  • 3.8 Intégrer les exigences en matière de sécurité de l'information dans les contrats et les activités des tiers (par exemple, les coentreprises, les fournisseurs externalisés, les partenaires commerciaux, les clients) afin de maintenir le niveau de sécurité de base de l'organisation.
  • 3.9 Établir, surveiller et communiquer périodiquement des indicateurs de gestion et de fonctionnement du programme afin d'évaluer l'efficacité et l'efficience du programme de sécurité de l'information.

Domaine 4 - Incidents de sécurité de l'information Management (18 %)

Planifier, établir et gérer la capacité à détecter, enquêter, répondre et récupérer les incidents de sécurité de l'information afin de minimiser l'impact sur l'activité.

  • 4.1 Établir et maintenir un processus de classification et de catégorisation des incidents de sécurité de l'information afin de permettre une identification et une réponse précises aux incidents.
  • 4.2 Établir, maintenir et aligner le plan de réponse aux incidents sur le plan de continuité des activités et le plan de reprise après sinistre afin de garantir une réponse efficace et rapide aux incidents de sécurité de l'information.
  • 4.3 Élaborer et mettre en œuvre des processus garantissant l'identification rapide des incidents de sécurité de l'information.
  • 4.4 Établir et maintenir des processus d'investigation et de documentation des incidents de sécurité de l'information afin de pouvoir y répondre de manière appropriée et d'en déterminer les causes tout en respectant les exigences légales, réglementaires et organisationnelles.
  • 4.5. Établir et maintenir des processus de traitement des incidents afin de s'assurer que les parties prenantes appropriées sont impliquées dans la gestion de la réponse aux incidents.
  • 4.6 Organiser, former et équiper les équipes pour qu'elles puissent réagir efficacement et rapidement aux incidents de sécurité de l'information.
  • 4.7 Tester et réviser périodiquement les plans de gestion des incidents afin de garantir une réponse efficace aux incidents de sécurité de l'information et d'améliorer les capacités de réponse.
  • 4.8 Établir et maintenir des plans et des processus de communication pour gérer la communication avec les entités internes et externes.
  • 4.9 Procéder à des examens post-incidents pour déterminer la cause profonde des incidents de sécurité de l'information, élaborer des mesures correctives, réévaluer les risques, évaluer l'efficacité de la réponse et prendre les mesures correctives qui s'imposent.
  • 4.10 Établir et maintenir l'intégration entre le plan de réponse aux incidents, le plan de reprise après sinistre et le plan de continuité des activités.

Pré requis

Il n'y a pas de pré-requis pour ce cours. L'ISACA exige un minimum de cinq ans d'expérience professionnelle dans le domaine de la sécurité de l'information pour obtenir la certification complète. Vous pouvez passer l'examen CISM avant de satisfaire aux exigences de l'ISACA en matière d'expérience, mais la qualification CISM est délivrée une fois que vous avez satisfait aux exigences en matière d'expérience. Cependant, il n'y a aucune restriction à se faire certifier dès le début de sa carrière et à commencer à mettre en œuvre des pratiques de gestion de la sécurité de l'information acceptées dans le monde entier.

 28 heures

Nombre de participants


Prix par participant

Nos clients témoignent (7)

Cours à venir