Mongi Mahmoudi

Accompagnement pour la mise en œuvre d'un SMSI ISO 27001:2022

• Management et suivi du projet avec des itérations selon une approche agile ;

• Identification des livrables et revue qualité des livrables, des jalons et des phases du projet ;

• Management du risque projet: Ressources/Budget/Délais ;

• Analyse d’écart et Analyse SWOT (Enjeux internes et Externes) ;

• Cartographie des processus et diagramme de flux de données (DCP, Données sensibles…) ;

• Identification des exigences légales et réglementaires (RGPD, NIS 1&2, PI, Coffre-fort Num., …) ;

• Révision et intégration de la sécurité dans les contrats ;

• Identifications de parties intéressées et leurs exigences en sécurité de l’information ;

• Inventaire des actifs et infrastructure cloud Microsoft Azure ;

• Elaboration de la politique de sécurité de l’information ;

• Identification des objectifs de sécurité et indicateurs (KPI) associés ;

• Conception d’une méthodologie d’analyse de risque basée sur l’ISO 27005 :2022 ;

• Analyse des risques afin d’intégrer les vulnérabilité et les mitigations dans l’architecture sécurité ;

• Plan de traitement des risques et DDA ;

• Accompagnement pour l’intégration des principes de sécurité dans les projets ISP ;

• Elaboration des plans de communication internes et externes ;

• Plan de suivi de performance : Conception des indicateurs de performance (KPI)

• Développement des procédures et des politiques de sécurité et des politiques spécifiques

• Définition des périmètres de sécurité et conception des contrôles et mesures de sécurité ;

• Conformité RGPD;

• Sensibilisation à la sécurité de l’information ;

• Sécurité dans les projets de développement (Authentification MFA, cryptographie, key Vault, sécurité de l’intégration CI/CD, SCA, SAST, DAST, …)

• Programme d’audit interne, revue de la direction et actions correctives ;

• Animation des réunions avec la direction et avec l’équipe projet ;

Mise en œuvre SMSI selon la norme ISO 27001:2013 & 2022, Audit Interne ISO 27001:2013 & 2022, Analyse de risque ISO27005 et développement de méthodologies d'analyse de risque spécifiques aux clients, PCA 22301, Test PCA, Gouvernance COBIT/ITIL,SDLC, Développement et amélioration des checklists d'audit selon les exigences de l'ISO 27001, l'ISO 27007 et l'ISO 27008, Rapport d'audit et constat selon les normes ISO 19011 et ISO 27006, GAP Analysis pour la conformité aux lois et aux exigences du DATA PRIVACY (NIST, Local laws, GDPR...)...