Pecb Iso 27001 Lead Auditor Exam Preparation Guide FR

Télécharger au format pdf ou txt
Télécharger au format pdf ou txt
Vous êtes sur la page 1sur 13

PECB-820-2 ISO/IEC 27001 LA Exam Preparation Guide

Guide de préparation de l’examen


PECB Certified ISO/IEC 27001 Lead Auditor

Page 1 of 13
PECB-820-2 ISO/IEC 27001 LA Exam Preparation Guide
L’objectif de l’examen « Certified ISO/IEC 27001 Lead Auditor » est de s’assurer que le candidat possède
les connaissances et les compétences nécessaires pour planifier et réaliser un audit d’un Système de
Management de la Sécurité de l’Information (SMSI) conforme à la norme ISO/IEC 27001 :2013, maîtriser
les techniques et les principes d’audit, et pour gérer (ou de faire partie) des équipes d’audit et des
programmes d’audit.

Les personnes ciblées pour cet examen sont :

 Les auditeurs qui souhaitent réaliser et diriger un audit d’un Système de Management de la
Sécurité de l’Information (SMSI) comme responsable d’une équipe d’audit
 Les gestionnaires de projet ou les consultants qui souhaitent maîtriser le processus d’audit du
Système de Management de la Sécurité de l’Information
 Les personnes responsables de la sécurité de l’information ou de la conformité dans une
organisation
 Les membres d’une équipe de sécurité de l’information
 Les conseillers spécialisés en technologie de l’information
 Les experts techniques qui souhaitent se préparer à occuper une fonction d’audit de la sécurité
de l’information

Le contenu de l’examen

 Domaine 1 : Principes et concepts fondamentaux de la sécurité de l’information (SI)


 Domaine 2 : Le Système de Management de la Sécurité de l’Information (SMSI)
 Domaine 3 : Principes et concepts fondamentaux d’audit
 Domaine 4 : Préparation d’un audit ISO/IEC 27001
 Domaine 5 : Conduire un audit ISO/IEC 27001
 Domaine 6 : Clôture d’un audit ISO/IEC 27001
 Domaine 7 : Gérer un programme d’audit ISO/IEC 27001

Page 2 of 13
PECB-820-2 ISO/IEC 27001 LA Exam Preparation Guide
Le contenu de l’examen est divisé comme suit :

Domaine 1 : Principes et concepts fondamentaux de la sécurité de


l’information (SI)
Objectif principal : S’assurer que le candidat à la certification ISO/IEC 27001 Lead Auditor est
en mesure de comprendre, interpréter et illustrer les concepts de la sécurité de l’information
relatifs aux Système de Management de la Sécurité de l’Information (SMSI).

Compétences Exposition des connaissances

1. Comprendre et expliquer les activités de 1. Connaissance de l’application des huit principes


l’organisation ISO et le développement des de l’ISO pour le management de la sécurité de
normes de la sécurité de l’information l’information
2. Capacité à identifier, analyser et évaluer les 2. Connaissance des principales normes de la
exigences de conformité de la sécurité de sécurité de l’information
l’information d’une organisation 3. Connaissance des différentes sources des
3. Capacité à expliquer et illustrer les exigences de la sécurité de l’information d’une
principaux concepts de la continuité organisation : lois, règlements, normes
d’activité et de la gestion des risques de la internationales et de l’industrie, contrats, pratiques
sécurité de l’information du marché, politiques internes.
4. Capacité à distinguer et expliquer la 4. Connaissances des principaux concepts de la
différence entre un actif de l’information, les sécurité de l’information et de la terminologie telle
données et les enregistrements que décrite dans la norme ISO 27000
5. Comprendre, interpréter et illustrer la 5. Connaissance de la notion du risque et de son
relation entre les concepts de l’actif, la application dans la sécurité de l’information
vulnérabilité, la menace, l’impact et les 6. Connaissance de la relation entre les concepts
contrôles d’actifs, de la vulnérabilité, de la menace, de
l’impact et des contrôles
7. Connaissance de la différence et des
caractéristiques des objectifs et des contrôles de
sécurité
8. Connaissance de la différence entre la prévention,
la détection et les contrôles correctifs et leurs
caractéristiques

Domaine 2 : Le Système de Management de la Sécurité de


l’Information (SMSI)
Objectif principal : S’assurer que le candidat à la certification ISO/IEC 27001 Lead Auditor est
en mesure de comprendre, interpréter et illustrer les concepts et les composants d’un Système
de Management de la Sécurité de l’Information (SMSI), conforme à la norme ISO/IEC 27001.

Compétences Exposition des connaissances

1. Comprendre et expliquer les composants 1. Connaissance des concepts, des principes et de


d’un Système de Management de la la terminologie liés aux systèmes de management

Page 3 of 13
PECB-820-2 ISO/IEC 27001 LA Exam Preparation Guide

Sécurité de l’Information conforme à la et au modèle « Plan-Do-Check-Act » (PDCA)


norme ISO/IEC 27001 et ses principaux 2. Connaissance des principales caractéristiques
processus d’un système de management intégré
2. Capacité à interpréter et analyser les 3. Connaissance des principaux avantages d’une
exigences de la norme ISO/IEC 27001 certification pour une organisation
3. Comprendre, expliquer et illustrer les 4. Connaissance des exigences de la norme
principales étapes pour établir, ISO/IEC 27001 présentées dans les clauses 4 à 8
implémenter, faire fonctionner, surveiller, 5. Connaissance des principales étapes pour établir
passer en revue, maintenir et améliorer un un SMSI et les politiques de sécurité, les objectifs
SMSI d’une organisation de sécurité, les processus et les procédures
4. Capacité à créer des objectifs de sécurité relatives à la gestion du risque et à l’amélioration
et à choisir les contrôles adaptés de la sécurité de l’information pour donner des
conformément à l’annexe A de la norme résultats conformément à la politique et aux
ISO/IEC 27001 objectifs généraux de l’organisation (Niveau de
sensibilisation)
6. Connaissance du concept d’amélioration continue
et de son application dans un SMSI
7. Connaissance de la structure de l’Annexe A
(objectifs et contrôles de sécurité)

Domaine 3 : Principes et concepts fondamentaux d’audit


Objectif principal : S’assurer que le candidat à la certification ISO/IEC 27001 Lead Auditor est
en mesure de comprendre, interpréter et appliquer les concepts et les principes relatifs à un
audit du SMSI dans le contexte de la norme ISO/IEC 27001.

Compétences Exposition des connaissances

1. Comprendre, expliquer et illustrer 1. Connaissance des principaux concepts et de la


l’application des principes d’audit dans le terminologie, comme décrits par la norme ISO
contexte d’un audit ISO/IEC 27001. 19011
2. Capacité à identifier et estimer les 2. Connaissance des différences entre la première
situations qui pourraient discréditer le partie, la deuxième partie et la troisième partie de
professionnalisme d’un auditeur et du code l’audit.
d’éthique de PECB. 3. Connaissance des principes suivants d’audit :
3. Capacité à identifier et évaluer les l’intégrité, la présentation équitable, la diligence
problèmes éthiques en prenant en compte professionnelle, le jugement professionnel, le
les obligations relatives aux sponsors, à scepticisme professionnel, la confidentialité et
l’entité l’auditée et à l’application de la loi l’indépendance.
ou aux autorités règlementaires. 4. Connaissance de l’approche basée sur les
4. Capacité à expliquer, illustrer et appliquer preuves dans un audit.
l’approche d’audit basée sur les preuves 5. Connaissance de la responsabilité professionnelle
dans le contexte d’un audit ISO/IEC 27001 d’un auditeur et du code d’éthique de PECB.
5. Capacité à expliquer et comparer les types 6. Connaissance des différents types de preuves :
et les caractéristiques des preuves. physiques, mathématiques, confirmatives,
6. Capacité à déterminer et justifier quel type techniques, analytiques, documentaires et
de preuve et combien de preuves sont verbales.
requises dans le contexte d’une mission 7. Connaissance de la qualité des preuves d’audit
d’audit spécifique d’un SMSI. (admissibles, appropriées, fiables, et suffisantes)
7. Capacité à déterminer et évaluer le seuil de et les facteurs qui vont les influencer.
matérialité et appliquer l’approche basée 8. Connaissance de l’approche basée sur les risques
sur le risque pendant les différentes phases dans un audit et des différents types de risques
d’un audit ISO/IEC 27001. relatifs aux activités d’audit.
8. Capacité à juger le niveau approprié de 9. Connaissance du concept de matérialité et de son

Page 4 of 13
PECB-820-2 ISO/IEC 27001 LA Exam Preparation Guide

l’assurance raisonnable nécessaire pour application dans un audit.


une mission spécifique d’audit ISO/IEC 10. Connaissance du concept d’assurance
27001. raisonnable et son application dans un audit.

Domaine 4 : Préparation d’un audit ISO/IEC 27001


Objectif principal : S’assurer que le candidat à la certification ISO/IEC 27001 Lead Auditor est
en mesure de préparer de manière appropriée un audit d’un SMSI dans le contexte de la
norme ISO/IEC 27001.

Compétences Exposition des connaissances

1. Comprendre et expliquer les étapes et 1. Connaissance des principales responsabilités d’un leader
les activités qu’il faut entreprendre pour d’une équipe d’audit et des membres d’une équipe d’audit.
préparer un audit d’un SMSI en prenant 2. Connaissance des rôles et des responsabilités des
en compte le contexte spécifique et les expertes techniques d’un audit
3. Connaissance de la définition des objectifs d’audit, du
conditions de la mission. domaine d’application de l’audit et des critères d’audit.
2. Comprendre et expliquer les rôles et les 4. Connaissance de la différence entre le domaine
responsabilités d’un leader d’une équipe d’application d’un SMSI et du domaine d’application de
d’audit, des membres d’une équipe l’audit.
d’audit et des experts techniques. 5. Connaissance des éléments à passer en revue pendant
3. Capacité à déterminer, évaluer et l’étude de faisabilité d’un audit.
confirmer les objectifs d’audit, les 6. Connaissance des aspects culturels à prendre en compte
critères d’audit et le domaine pendant un audit.
d’application de l’audit pour une mission 7. Connaissance des caractéristiques des notions d’audit et
spécifique d’audit ISO/IEC 27001. des meilleures pratiques pour établir un premier contact
4. Capacité à faire une étude de faisabilité avec une entité auditée.
d’un audit dans le contexte de la mission 8. Connaissance de la préparation d’un plan d’audit
spécifique d’audit ISO/IEC 27001. 9. Connaissance de la préparation et de l’élaboration des
5. Capacité à expliquer, illustrer et définir documents nécessaires pour d’audit
les caractéristiques des notions d’audit 10. Connaissance des avantages et des désavantages de
l’utilisation des listes de contrôle de l’audit
et appliquer les meilleures pratiques
11. Connaissance des meilleures pratiques pour la création
pour établir le premier contact avec une d’une prolongation des plans de test
entité auditée dans le contexte d’une
mission spécifique d’audit ISO/IEC
27001.
6. Capacité à développer la documentation
d’audit et à élaborer les plans
appropriés de test d’audit dans le
contexte d’une mission spécifique
d’audit ISO/IEC 27001.

Domaine 5 : Conduire un audit ISO/IEC 27001


Objectif principal : S’assurer que le candidat à la certification ISO/IEC 27001 Lead Auditor est
en mesure de conduire de manière efficace un audit du SMSI dans le contexte de la norme
ISO/IEC 27001.

Compétences Exposition des connaissances

1. Capacité à organiser et conduire une 1. Connaissance des objectifs et du contenu d’une

Page 5 of 13
PECB-820-2 ISO/IEC 27001 LA Exam Preparation Guide

réunion d’ouverture dans le contexte réunion d’ouverture d’un audit.


d’une mission spécifique d’audit 2. Connaissance de la différence de l’étape 1 de l’audit
ISO/IEC 27001. et de l’étape 2 de l’audit.
2. Capacité à conduire une étape 1 de 3. Connaissance des exigences de l’étape 1 de l’audit,
l’audit dans le contexte d’une mission les étapes et les activités.
spécifique d’audit ISO/IEC 27001 et 4. Connaissance des critères de la revue documentaire.
prendre en compte les conditions et les 5. Connaissance des exigences documentaires
critères de revue de la documentation énoncées par la norme ISO/IEC 27001.
3. Capacité à conduire une étape 2 de 6. Connaissances des exigences de l’étape 2 de l’audit,
l’audit dans le contexte d’une mission des étapes et des activités.
spécifique d’audit ISO/IEC 27001 en 7. Connaissance des meilleures pratiques de
appliquant les meilleures pratiques de communication pendant un audit.
communication pour recueillir les 8. Connaissance des rôles et des responsabilités des
preuves appropriées et prendre en guides et des observateurs pendant un audit.
compte les rôles et les responsabilités 9. Connaissance des techniques de résolution de conflit.
de toutes les personnes impliquées. 10. Connaissance des procédures de recueil des
4. Capacité à expliquer, illustrer et preuves : observation, revue documentaire, entretiens,
appliquer les techniques statistiques et analyses et vérification technique.
les méthodes d’échantillonnage d’audit. 11. Connaissance des procédures d’analyse des
5. Capacité à recueillir de manière preuves : corroboration et évaluation.
objective les preuves appropriées de 12. Connaissance des concepts principaux, des principes
l’information disponible dans un audit et et des techniques statistiques utilisées dans un audit.
de les évaluer de manière objective. 13. Connaissance des méthodes principales
d’échantillonnage d’audit et de leurs caractéristiques.

Domaine 6 : Clôture d’un audit ISO/IEC 27001


Objectifs principal : S’assurer que le candidat à la certification ISO/IEC 27001 Lead Auditor
est en mesure de clôturer un audit d’un SMSI et de conduire des activités de suivi dans le
contexte de la norme ISO/IEC 27001.

Compétences Exposition des connaissances

1. Capacité à expliquer et appliquer les 1. Connaissance du processus d’évaluation des


processus d’évaluation des preuves preuves pour rédiger les résultats d’audit et pour
pour rédiger les résultats d’audit et préparer les conclusions d’audit.
préparer les conclusions d’audit. 2. Connaissance des différences et des caractéristiques
2. Comprendre, expliquer et illustrer les entre les concepts de conformité, de non-conformité
différents niveaux de conformité et le mineure, de non-conformité majeure, de l’anomalie et
concept du bénéfice du doute. de l’observation.
3. Capacité à faire un rapport des 3. Connaissance des lignes directrices et des
observations d’audit afin d’aider une meilleures pratiques pour rédiger un rapport de non-
organisation à améliorer un SMSI conformité.
conformément aux principes et aux lois 4. Connaissance des lignes directrices et des
d’audit. meilleures pratiques pour rédiger et faire le rapport
4. Capacité à compléter les documents de l’observation d’audit.
d’un audit et à faire une revue de la 5. Connaissance du principe du bénéfice du doute et
qualité d’un audit ISO/IEC 27001 son application dans le contexte d’un audit.
5. Capacité à rédiger des conclusions 6. Connaissance des lignes directrices et des
d’audit et les présenter à la direction de meilleures pratiques pour compléter les documents
l’organisation auditée. d’un audit et pour faire une revue de la qualité d’un
6. Capacité à organiser et conduire une audit.
réunion de clôture de l’audit. 7. Connaissance des lignes directrices et des

Page 6 of 13
PECB-820-2 ISO/IEC 27001 LA Exam Preparation Guide

7. Capacité à rédiger un rapport d’audit meilleures pratiques pour présenter les résultats et
ISO/IEC 27001 et justifier une les conclusions d’un audit à la direction d’une
recommandation de certification organisation auditée.
8. Capacité à conduire les activités suite à 8. Connaissance des recommandations possibles qu’un
un audit initial incluant l’évaluation des auditeur peut donner dans le contexte d’un audit de
plans d’actions, les audits de suivi, les certification et le processus de certification.
audits de surveillance et les audits de 9. Connaissance des lignes directrices et des
recertification meilleures pratiques pour évaluer les plans d’actions.
10. Connaissance de l’audit de suivi, des audits de
surveillance et des exigences d’un audit de
recertification, des étapes et des activités.
11. Connaissance des conditions pour la modification, la
prolongation, la suspension ou pour retirer la
certification d’une organisation.

Domaine 7 : Gérer un programme d’audit ISO/IEC 27001


Objectif principal : S’assurer que le candidat à la certification ISO/IEC 27001 Lead Auditor est
en mesure de comprendre comment établir et gérer un programme d’audit d’un SMSI.

Compétences Exposition des connaissances

1. Comprendre et expliquer l’établissement 1. Connaissance de l’application du modèle PDCA dans


d’u programme d’audit et l’application du la gestion d’un programme d’audit
modèle PDCA. 2. Connaissance des exigences, des lignes directrices
2. Comprendre et expliquer la mise en et des meilleures pratiques concernant les
œuvre d’un programme d’audit ISO/IEC ressources, les procédures et les politiques d’audit
27001 (première partie, seconde partie 3. Connaissance des types d’outils utilisés par les
et troisième partie) auditeurs professionnels
3. Comprendre et expliquer les 4. Connaissances des exigences, des lignes directrices
responsabilités pour protéger l’intégrité, et des meilleures pratiques concernant la gestion des
la disponibilité et la confidentialité des enregistrements d’audit
enregistrements de l’audit. 5. Connaissance de l’application du concept
4. Comprendre les exigences relatives aux d’amélioration continue par la direction du
composants du système de programme d’audit
management d’un programme d’audit tel 6. Connaissance des particularités pour mettre en
que la gestion de la qualité, la gestion œuvre et gérer une première partie, une seconde, ou
des enregistrements, la gestion des troisième partie du programme d’audit.
plaintes 7. Connaissance de la gestion des activités d’audit
5. Comprendre l’évaluation de l’efficacité combiné
d’un programme d’audit en surveillant la 8. Connaissance du concept de compétence et son
performance de chaque auditeur, application aux auditeurs
chaque équipe et de l’organisme de 9. Connaissance des attributs personnels et du
certification en général. comportement d’un auditeur professionnel.
6. Comprendre et expliquer la façon dont
les audits combinés sont traités dans un
programme d’audit
7. Capacité à démontrer l’application des
attributs personnels et les
comportements associés aux auditeurs
professionnels.

Page 7 of 13
PECB-820-2 ISO/IEC 27001 LA Exam Preparation Guide
Basé sur ces sept domaines et sur leur pertinence, l’examen contient douze questions, tel que
résumé dans le tableau ci-dessous :

English French
Level of Understanding (Cognitive/Taxonomy) Niveau de compréhension requis
Required (Cognitif/Taxonomie)
Points per question Points par question
Questions that measure Comprehension, Question qui mesure la compréhension,
Application and Analysis l’application et l’analyse
Questions that measure Synthesis and Evaluation Questions qui mesurent la synthèse et l’évaluation
Number of questions per content are Nombre de question par domaine de compétence
% of test devoted to each content area % du test consacré à chaque domaine de
compétence
Content area/Competence domains Domaines de compétences
Fundamental principles and concepts of IS Principes et concepts fondamentaux de la SI
ISMS SMSI
Fundamental audit concepts and principles Principes et concepts fondamentaux d’audit
Preparation of an ISO 27001 audit Préparation d’un audit ISO 27001
Conduct and ISO 27001 audit Conduire un audit ISO 27001
Conclusion and follow-up of an ISO 27001 audit Conclusion et suivi d’un audit ISO 27001
Managing an ISO 27001 audit program Gérer un programme d’audit ISO 27001
Total points Total des points
Number of questions per level of understanding Nombre des questions par niveau de
compréhension
% of test devoted to each level of understanding % du test consacré à chaque niveau de
(cognitive/Taxonomy) compréhension (cognitive/taxonomie)

Le score de passage est fixé à 70%.

Après avoir réussi l’examen, les candidats peuvent demander la qualification de Certified
ISO/IEC 27001 Lead Auditor en fonction de leur niveau d’expérience.

Passer l’examen de certification

Les candidats doivent arriver au moins trente (30) minutes avant le début de l’examen de
certification. Les candidats qui arrivent en retard ne pourront pas bénéficier d’un délai
supplémentaire pour compenser leur arrivée tardive et peuvent se voir refuser l’entrée à la salle
d’examen (s’ils arrivent après plus de 5 minutes après le début de l’heure prévue de l’examen).

Tous les candidats devront présenter une carte d’identité valide avec une photo, comme un
permis de conduire (ou toute autre pièce d’identité émise par le gouvernement) au surveillant et
la lettre de confirmation de l’examen.

La durée de l’examen est de trois (3) heures.

Page 8 of 13
PECB-820-2 ISO/IEC 27001 LA Exam Preparation Guide
Les questions sont des questions à développement. Ce type de format a été choisi car
l’intention est de déterminer si un candidat est en mesure de rédiger une réponse cohérente,
d’argumenter clairement et d’évaluer les techniques de résolution de problèmes. En raison de
cette particularité, l’examen est défini comme à « livre ouvert » et ne mesure pas le rappel des
données ou des informations. Au lieu de cela, l’examen évalue la compréhension, l’application,
l’analyse, la synthèse et l’évaluation, ce qui signifie que même si la réponse est dans le matériel
de cours, les candidats devront justifier et donner des explications, pour montrer qu’ils ont bien
compris les concepts. A la fin de ce document, vous trouverez des échantillons de questions
d’examen et des réponses possibles.

En étant un examen à “livre ouvert”; les candidats sont autorisés à utiliser les documents de
référence ci-dessous :

- Une copie de la norme ISO/IEC 27001 :2013


- Le manuel de cours du participant,
- Toutes les notes personnelles prises par le participant durant le cours et
- Un dictionnaire.

L’utilisation d’appareils électroniques, comme les ordinateurs portables ou les


téléphones portables, n’est pas autorisée.

Toute tentative de copier, de s’associer avec quelqu’un ou de tricher pendant l’examen conduira
automatiquement à l’échec de l’examen.

Les examens de PECB sont disponibles en anglais. Pour savoir si l’examen est disponible dans
une autre langue, veuillez nous contacter à l’adresse : examination@pecb.com

Réception des résultants de l’examen

Les résultats seront communiqués par courrier électronique dans un délai de 6 à 8 semaines
suivant l’examen. Les résultats ne dévoileront pas la note exacte que le candidat a obtenue,
mais seulement une mention de réussite ou d’échec.

Les candidats qui auront réussi l’examen seront en mesure de postuler au schéma de
certification.

En cas d’échec, les résultants seront accompagnés de la liste des domaines dans lesquels le
candidat a obtenu une mauvaise note, pour donner une orientation qui l’aidera dans la
préparation pour passer de nouveau l’examen.

Les candidats qui sont en désaccord avec les résultats de l’examen peuvent déposer une
plainte. Pour plus d’informations, veuillez visiter : www.pecb.com

Politique de passage de l’examen

Page 9 of 13
PECB-820-2 ISO/IEC 27001 LA Exam Preparation Guide
Il n’y a aucune limitation sur le nombre de fois qu’un candidat peut passer le même examen.
Cependant, il existe certaines limites en termes de calendrier entre les deux examens.

Lorsque les candidats échouent à un examen, ils sont autorisés à reprendre l’examen une fois
dans les 12 mois après la première tentative. Si le deuxième examen est un échec, le candidat
peut passer l’examen seulement après une année (12 mois). Des frais de reprise s’appliquent.

Seuls les étudiants qui ont complété une formation entière du PECB mais qui échouent à
l’examen écrit, son admissibles à l’examen sans frais, à condition que :

“Un étudiant peut repasser l’examen une fois et cette reprise doit avoir lieu dans les 12 mois à
compter de la date de l’examen initial. »

Lorsque les candidats échouent au même examen pour la seconde fois, leur dossier est
automatiquement fermé pour une année.

Fermeture des dossiers

La fermeture d’un dossier est équivalente au rejet de la demande d’un candidat. En


conséquence, lorsque les candidats demandent que leur dossier soit rouvert, PECB ne sera
plus lié aux conditions, aux normes, aux politiques, au manuel du candidat ou au guide de
préparation de l’examen qui était en vigueur avant que leur dossier n’ait été fermé.

Les candidats qui souhaitent demander la réouverture de leur dossier doivent faire une
demande écrite et payer les frais requis.

Sécurité de l’examen

L’élément important d’une certification professionnelle réussie est le respect et le maintien de la


sécurité et de la confidentialité de l’examen. PECB compte sur le comportement éthique des
détenteurs des certificats et des candidats pour maintenir la sécurité et la confidentialité de ses
examens. Lorsque quelqu’un qui détient une qualification de PECB révèle des informations sur
le contenu de l’examen, il viole le code d’éthique de PECB. PECB prendra des mesures contre
les personnes qui enfreignent ses conditions et son code d’éthique. Les mesures prises
peuvent inclure l’interdiction permanente des individus à poursuivre les qualifications de PECB
et peut révoquer les certifications de ceux qui ont obtenu le diplôme. PECB entamera
également une action en justice contre les personnes ou les organisations qui portent atteinte à
ses droits d’auteur, aux droits de propriété et à la propriété intellectuelle.

Page 10 of 13
PECB-820-2 ISO/IEC 27001 LA Exam Preparation Guide

Exemples de questions d’examen et réponses possibles

1. Preuves dans un audit

Déterminez de quelle façon vérifierez chacune des mesures de contrôle ci-après. Vous devez
fournir des exemples de preuves que vous souhaitez rechercher pour avoir une garantie
raisonnable que la mesure de contrôle a été mise en œuvre de manière efficace. Veuillez
indiquer aux moins deux éléments de preuves pour chaque mesure.

Les politiques de la sécurité de l’information (A.5.1.1.) :

Réponses possibles :

 Revue documentaire de la politique de la sécurité de l’information pour valider le


contenu
 Entretien avec la personne chargée de la sécurité de l’information pour valider le
processus d’approbation et de distribution de la politique.
 Vérification des moyens de distribution de la politique (site internet, version imprimée,
information sur le manuel de l’employée, etc.)

2. Evaluation des actions correctives

Vous avez reçu un plan d’actions correctives. Evaluez l’adéquation des actions correctives
proposées. Si vous êtes d’accord avec les actions correctives, expliquez pourquoi. Si vous
n’êtes pas d’accord, expliquez pourquoi et proposez quelles seraient les actions correctives
adéquates.

- Une non-conformité a été observée car l’équipe des ressources humaines n’était pas au
courant de la procédure qui leur demande de valider les références des futurs employés
avant de les embaucher.
- L’action corrective : informer (délai d’exécution : immédiat) et former (délai d’exécution :
dans les 6 mois) l’équipe des ressources humaines concernant cette procédure et
demander que chaque membre de l’équipe suive la formation.

Réponses possibles
Je suis d’accord. Ceci résout le problème qui était l’ignorance de la procédure. En tant
qu’auditeur, un échantillonnage sera réalisé pendant l’audit de surveillance pour vérifier
si la procédure est suivie.

3. Evaluation du risque et sélection des contrôles

Déterminer les menaces et les vulnérabilités associées aux situations suivantes et


indiquer les impacts potentiels. Indiquer, également, si les risques affecteraient la
confidentialité, l’intégrité des données et/ou la disponibilité.

Page 11 of 13
PECB-820-2 ISO/IEC 27001 LA Exam Preparation Guide
Pour chaque risque identifié, fournir les contrôles appropriés (en fournissant le numéro
de la clause de la mesure) qui permet de réduire, de transférer ou d’éviter les risques.

Réponses possibles :

Enoncé Vulnérabilités Menaces C I A Impacts Contrôles


potentiels
Le Manque de Erreurs de X Le site A.12.1.1
webmestre ségrégation traitement internet
qui a créé le des fonctions contant des A.6.1.2
site internet informations
de erronées : A.9.2.3
l’entreprise Actes perte de
et il est malveillants crédibilité A.14.1.2
chargé des Une
mises à jour personne A.12.4.3
et de seulement
télécharger est A.14.2.2
les disponible Le Site internet
informations pour cette webmestre non
sur le site fonction démissionne X disponible :
de perte de
l’entreprise revenus
ou tombe
malade

4. Classification des mesures

Pour chacun des 5 mesures suivantes, indiquez si elle a été utilisée comme une mesure
préventive, corrective, et/ou de détection ; et indiquez si la mesure est une mesure
administrative, technique, managériale ou légale. Expliquez votre réponse.

- Le cryptage des communications électroniques

Réponses possibles :

Mesure préventive : empêche les personnes non-autorisées de lire les messages

Mesures techniques (peuvent être légales) : le cryptage est une solution technique pour assurer la
confidentialité de l’information (peut être une exigence légale)

5. Rédaction d’un plan de test

Rédigez un plan de test pour valider la mesure suivante, qui identifie les différentes procédures
applicables d’audit (observation, revue documentaire, entretien, vérification technique et analyse) :

Page 12 of 13
PECB-820-2 ISO/IEC 27001 LA Exam Preparation Guide
- Protection de l’information journalisée (A.12.4.2). Les appareils de connexion et les informations
de connexion doivent être protégés contre les falsifications et l’accès non-autorisé.

Réponses possibles :

Protection des informations journalisées (A.12.4.2) : les appareils de connexion et les informations de
connexion doivent être protégés contre la falsification et l’accès non-autorisé.

Observation Observation des mesures de protection mises en œuvre contre le sabotage et les accès
non-autorisés.

Documentation La documentation des mesures en place pour protéger l’information journalisée contre
le sabotage et les accès non-autorisés, la politique de l’information journalisée et les
procédures afférentes, les rapports de test d’intrusion.

Entretien Entretien avec le gestionnaire de la sécurité de l’information et valider les objectifs de


la politique de journalisation, entretien avec l’administrateur de réseau pour valider le
fonctionnement des mesures en place pour protéger l’information journalisée contre le
sabotage et les accès non-autorisés.

Vérification Observation des configurations de l’équipement de journalisation pour vérifier leur


technique conformité aux politiques et aux procédures de l'organisation.

Analyse Analyse d’un échantillon d’information journalisée.

Page 13 of 13

Vous aimerez peut-être aussi