Jeudi, le 21 Novembre 2024

J 24 IZOGOOD 27001 - Décrypter la norme sécurité de l'information ISO 27001 en s'amusant - Jeu en ligne

Jeu en ligne J 24 IZOGOOD® 27001 - Décrypter, comprendre et assimiler les exigences de la norme sécurité de l'information ISO 27001 en s'amusant

 
75
HT
J 24 IZOGOOD 27001 - Décrypter la norme sécurité de l'information ISO 27001 en s'amusant - Jeu en ligne Voir les autres jeux

 Voir la formation en ligne F 24v22 Préparation à l'ISO 27001

Voir la formation en ligne F 44v22 Audit interne ISO 27001

Voir le lot de formations en ligne F 84v22 ISO 27001

 

POURQUOI NE PAS ENRICHIR SES CONNAISSANCES SUR LA NORME ISO 27001 EN S'AMUSANT ?

LE JEU

Le jeu en ligne J 24 IZOGOOD® 27001 s'adresse :

 

  • à toute personne qui veut découvrir la norme ISO 27001
  • à toute personne qui veut améliorer ses connaissances de la norme ISO 27001

 

Le jeu en ligne J 24 IZOGOOD® 27001 vous permet de parcourir les différents aspects de la norme ISO 27001 par des interrogations plus ou moins difficiles en abordant :

 

  • des menaces ou des opportunités par les 50 cartes RISQUE
  • des exigences de la norme par les 50 cartes QCM (questions à choix multiples)
  • des bonnes pratiques ou écarts à éviter par les 50 cartes PRATIQUE
  • des exemples de cas par les 50 cartes CAS

 

Chaque carte inclut un commentaire avec des explications sur le paragraphe concerné.

 

Le jeu en ligne J 24 IZOGOOD® 27001 vous aidera à acquérir une meilleure compréhension et des connaissances approfondies sur la norme ISO 27001 en s'amusant.

 
Les articles et les principaux paragraphes de la norme ISO 27001 seront plus compréhensibles et les exigences plus simples à assimiler et à appliquer.

 

Quelle que soit la fonction du joueur, sa responsabilité et son niveau de connaissance de la norme, il approfondira son discernement des points essentiels du système de management de la sécurité de l'information (SMSI).

 

Les bénéfices d'un jeu en ligne sont, entre autres, de permettre :

 

  • l'assimilation des connaissances liées à la norme ISO 27001
  • une compréhension plus homogène :
    • du contenu
    • des spécificités et
    • des exigences de la norme ISO 27001
  • la vérification des acquis
  • l'apprentissage ludique de la norme
  • de mieux se préparer pour la certification ou l'audit de suivi

LES CONDITIONS

Vous avez accès au jeu pendant deux mois et aux annexes pendant un an.

Vous pouvez jouer autant de fois que vous désirez.

Vous pouvez télécharger et lire les documents. Vous pouvez imprimer les annexes, cela peut vous aider.

En savoir plus

Toute personne impliquée dans l'introduction, la mise en oeuvre, le maintien, la consultation, la formation et l'amélioration d'un système de management de la sécurité de l'information basé sur l'ISO 27001 :

  • pilote du projet de certification ISO 27001
  • directeur
  • directeur qualité
  • responsable SI
  • responsable qualité
  • responsable métrologie
  • responsable maintenance
  • chef de projet
  • correspondant qualité
  • technicien qualité
  • assistant qualité
  • opérateur qualité
  • travailleur
  • opérateur
  • technicien
  • consultant
  • formateur
  • conseiller
  • chargé de mission qualité
  • auditeur interne
  • étudiant

 livret

LIVRET DU JOUEUR

 

TABLE DES MATIÈRES

 

  1. Règles du jeu
  2. Glossaire
  3. Les cartes

 1. RÈGLES DU JEU

Le jeu est prévu pour une personne, mais rien n’empêche de jouer en petit groupe, cela sera bien plus ludique.

 

Le jeu est compatible avec les versions récentes des navigateurs Web. Autrement le jeu peut être lent.

 

Une séance de jeu dure en moyenne entre une demi-heure et 2 – 3 heures. Vous pouvez jouer autant de fois que vous souhaitez pendant votre accès de 60 jours et assimiler les connaissances liées à la norme ISO 27001.

 

Le but du jeu est d’arriver le plus vite à la dernière case (Arrivée). arrivée 

 

Les exigences de la norme et des commentaires sont sur cette page. Un quiz gratuit sur les exigences de la norme ISO 27001 est fourni au début de la page. Cela vous permet de découvrir, décrypter et se familiariser avec les exigences de la norme.

 

Avoir à portée de main un exemplaire de la norme ISO 27001 (non fourni avec le jeu) est un prérequis.

 

Le fond d’écran du jeu est une ville et un parcours de la voiture. 

 

En haut à gauche vous avez une horloge avec le temps écoulé. En haut à droite vous avez une aide et un bouton pour quitter le jeu.

 

En bas à gauche vous avez un bouton pour couper le son. En bas au milieu vous avez le total d’étoiles gagnées etoile . En bas à droite vous avez un bouton avec un lien vers la page des exigences de la norme ISO 27001.

 

Au début la voiture est stationnée à la case Départ. départ

 

Le jeu débute en cliquant sur le bouton COMMENCER LE JEU.

 

La séquence des cases (types des cartes) est la suivante :

 

  • RISQUE - menace ou opportunité - argent
  • QCM - questionnaire à choix multiples - vert
  • PRATIQUE - bonne pratique ou écart à éviter - orange
  • CAS – situation, défi et solutions - bleu

 

Vous avez aussi 4 cases Maintenance maintenance et 4 cases boîtes de Pandore Pandore.

 

Chaque type de carte contient 50 cartes, la réponse de chaque carte est liée à un paragraphe de la norme ISO 27001 version 2022.

 

Chaque carte est montrée avec les étapes suivantes :

 

  • étape 1. Le dos de carte avec le type de carte, le numéro (de 1 à 50) et le nombre d’étoiles (de une à trois) en bleu, blanc et rouge etoiledeuxtrois
  • étape 2. Le type de carte, son numéro, la question (par exemple : Est-ce que l’affirmation suivante est plutôt une menace ou une opportunité ?), l’affirmation (par exemple : Le domaine d’application du SMQ décrit les activités principales de l’entreprise) et l’étoile
  • étape 3. Les réponses (une ou plusieurs réponses correctes sont possibles) un émoji vert good (pour toutes les bonnes réponses) et un émoji rouge bad (pour une mauvaise réponse) 
  • étape 4. Le paragraphe de la norme et un commentaire pour la bonne réponse ou un commentaire pour la mauvaise réponse

 

La voiture démarre et arrive sur la case Risque  . 

 

Le numéro de la carte est aléatoire. En relation avec la difficulté de la question les étoiles sont une, deux ou trois.

 

Si vous avez deviné la bonne réponse la voiture avance autant de cases que la question contient d’étoiles.

 

Si vous n’avez pas deviné la bonne réponse (ou répondu partiellement) la voiture cale sur la même case et la carte suivante sera du même type.

 

Si vous tombez sur une case Maintenance maintenance ou une case boîte de Pandore Pandore, vous pouvez avoir de la chance ou de la malchance. Du coffre de la voiture ou de la boîte de Pandore sort une carte aléatoire chance ou malchance. La chance c’est une carte Joker joker et votre voiture avance de 3 cases. Si c’est la carte Malchance malchance qui sort du coffre ou de la boîte, votre voiture recule de 3 cases.

 

Si une deuxième personne est à côté de vous et elle a imprimé le présent livret, elle peut augmenter la difficulté du jeu en posant, entre autres, ces questions :

 

  • Quel est l’article et le paragraphe de la norme en lien avec la question posée ?
  • Pouvez-vous donner un exemple de votre département en lien avec cette question ?

 

Quand vous êtes arrivé pour la première fois à la case Arrivée vous pouvez télécharger votre Attestation de participation au jeu J 24 IZOGOOD® 27001. attestation 

 

Vous pouvez aussi voir le suivi des résultats du jeu :

 

  • le nombre d'étoiles gagnées etoile
  • la date et l'heure chaque fois que vous avez joué calendrier
  • le temps passé temps

 

Les objectifs pédagogiques du jeu sont de permettre à chaque joueur :

 

  • d’identifier si un risque est plutôt une menace ou une opportunité
  • d’enrichir ses connaissances sur les exigences de la norme grâce aux QCM
  • de deviner si une affirmation est plutôt une bonne pratique ou un écart à éviter
  • d’étudier pour chaque cas proposé la situation, le défi et de trouver la bonne solution (une ou plusieurs solutions correctes sont possibles)
  • de décrypter les articles et paragraphes de la norme et d’assimiler les exigences

 

Certaines questions comportent un soupçon d’humour (même si le chef a oublié de le dire). Détendez-vous, ce n’est qu’un jeu. sourrire

 

Un parti pris est inévitable quant aux « bonnes réponses » à retenir, en particulier pour les cartes RISQUES ou CAS.

 

Voici ci-dessous un exemple :

 

Carte RISQUE 01. L’affirmation suivante est-elle plutôt une menace ou une opportunité ?  « Le plus important est que la stratégie de l’entreprise ait été établie dans le passé »

 

On pourrait répondre que c’est une menace ou une opportunité mais cela dépend de la date à laquelle la stratégie a été définie.

 

Si vous répondez que c’est une menace, vous avez raison car il n’est pas précisé quand la précédente stratégie a été élaborée (il y a un an, il y a 10 ans). Il y a donc une information manquante. Mais vous pourriez répondre que c’est une opportunité car vous pensez que « dans le passé » veux dire 2 à 3 ans. 

 

Ainsi, les réponses et la pertinence des commentaires présentés sont contestables, en fin de compte la vérité est parfois relative.

 

Le jeu IZOGOOD a été créé et réalisé avec beaucoup d’attention. Merci d’avance de nous communiquer les éventuels points de progrès que vous avez identifié via ce lien : https://www.pqb.fr/contact.php

 

2. GLOSSAIRE

Le début de la sagesse est la définition des termes. Socrate
 
Certains termes spécifiques qualité :
 
 
Actif : tout élément ayant de la valeur pour l’organisation
 
Action corrective : action pour éliminer les causes d’une non-conformité ou tout autre événement indésirable et empêcher leur réapparition
 
Amélioration continue : processus continu permettant d'améliorer la performance globale de l’entreprise
 
Approche processus : management par les processus pour mieux satisfaire les clients, améliorer l’efficacité de tous les processus et augmenter l’efficience globale
 
Audit : examen méthodique et indépendant en vue de déterminer si les activités et les résultats satisfont aux dispositions préétablies et sont aptes à atteindre les objectifs
 
Client : celui qui reçoit un produit
 
Confidentialité : propriété d’une information pouvant être dévoilée seulement aux personnes autorisées
 
Conformité : satisfaction d’une exigence spécifiée
 
Cryptographie : activités de protection de la confidentialité d’une information à l’aide de codification et de décodification
 
Déclaration d’applicabilité (DdA) : document décrivant les objectifs et les mesures de sécurité
 
Dérogation (après production) : autorisation écrite de livrer un produit non conforme
 
Direction : groupeou personnes chargées de la gestion au plus haut niveau de l’entreprise
 
Document : tout support permettant le traitement d’une information
 
Efficacité : capacité de réalisation des activités planifiées avec le minimum d’efforts
 
Efficience : rapport financier entre le résultat obtenu et les ressources utilisées
 
Entreprise (organisation) : structure qui satisfait un besoin
 
Exigence : besoin ou attente implicite ou explicite
 
Indicateur : valeur d’un paramètre, associé à un objectif, permettant de façon objective d’en mesurer l’efficacité
 
Inspection : actions de mesures, d’essais et d’examens d’un produit, service, processus ou matériel pour déterminer le respect des exigences
 
Intégrité : propriété d’une information d’être non altérée
 
Management de la sécurité de l’information : activités permettant de maîtriser une entreprise en matière de sécurité de l’information
 
Non-conformité : non-satisfaction d’une exigence spécifiée
 
Objectif de sécurité de l’information : but mesurable à atteindre lié à la sécurité de l’information
 
Partie prenante : personne, groupe ou organisation pouvant affecter ou être affecté par une entreprise
 
Performance : résultats mesurables et attendus du système de management
 
PESTEL : Politique, Économique, Sociologique, Technologique, Écologique, Légal. Analyse permettant d'identifier l'influence des facteurs externes
 
Prestataire externe (fournisseur) : celui qui procure un produit
 
Preuve d’audit : données factuelles par rapport aux critères d’audit dont la véracité peut être démontrée
 
Processus : activités qui transforment des éléments d’entrée en éléments de sortie
 
Produit (ou service) : tout résultat d’un processus ou d’une activité
 
Qualité : aptitude à satisfaire aux exigences
 
Revue : examen d'un dossier, d'un produit, d'un processus afin de vérifier l’atteinte des objectifs fixés
 
Revue de direction : examen périodique réalisé par la direction du système de management pour son amélioration continue
 
Risque : vraisemblance d’apparition d’une menace ou d’une opportunité
 
Satisfaction du client : objectif prioritaire de chaque système de management à la satisfaction des exigences client
 
Sauvegarde : copie de données afin d’archiver et protéger contre la perte
 
Sécurité de l’information : mesures permettant de protéger la confidentialité, l’intégrité et la disponibilité de l’information
 
SI : sécurité de l’information
 
SMSI : système de management de la sécurité de l’information
 
SWOT : Strengths, Weaknesses, Opportunities, Threats ou forces, faiblesses, opportunités, menaces. Outil pour structurer une analyse des risques
 
Système de management : ensemble de processus permettant d’atteindre les objectifs
 
Traçabilité : aptitude à mémoriser ou restituer tout ou partie d’une trace des fonctions exécutées
 
Vérification : examen périodique de la conformité d'un processus, d’un produit, service ou matériel
 
Validation : notice que l'application d'un processus, produit, service ou matériel permet d'atteindre les résultats escomptés
VLAN : Virtual Local Area Network, Réseau local virtuel
 
Remarque 1 : le mot anglais "control" a plusieurs sens. Il peut être traduit par maîtrise, autorité, commande, gestion, contrôle, surveillance, inspection. Pour éviter des malentendus notre préférence est pour maîtrise et inspection au détriment de contrôle
Remarque 2 : entre processus et procédé notre préférence est pour processus (en anglais "process")
Remarque 3 : organisme (en anglais organization) est le terme utilisé dans l’ISO 27001 pour l’entité entre le prestataire externe (fournisseur) et le client. Organisation est utilisé par l’ISO 26000, l’EFQM, l’ONU et beaucoup d’autres. Pour éviter la confusion avec organisme de certification notre préférence est pour le terme entreprise
Remarque 4 : un document peut être représenté comme information documentée que l’on doit tenir à jour (procédure) ou conserver (enregistrement)
Remarque 5 : le cycle PDCA (en anglais Plan, Do, Check, Act) nous traduisons par Planifier, Dérouler, Comparer, Agir
 

3. LES CARTES

Exemples des 3 premières cartes :

 

cartes

RISQUES risque

Question récurrente :Est-ce que l'affirmation suivante est plutôt une menace ou une opportunité ?

 
RISQUE 01 Le plus important est que la stratégie de l'entreprise ait été établie dans le passé
Menace          § 4.1       rouge
Tous les trois ans en moyenne, il convient de vérifier l'adéquation de la stratégie au contexte de l'entreprise, aux attentes et besoins des parties prenantes. Menace car la date de l’élaboration de la stratégie n’est pas précisée
 
RISQUE 02 Le contexte de l'entreprise est un élément qui peut être pris en considération (même si le chef a oublié de le dire)
Menace          § 4.1        blanc
C'est une exigence de la norme et c'est incontournable. Cela fait partie des premiers travaux à réaliser puisque la validation de la stratégie de l'entreprise en dépend
 
RISQUE 03 Chercher à anticiper l’évolution des attentes du client est du temps perdu (si c'est le chef qui le dit)
Menace           § 4.2       bleu
L'objectif de l'entreprise étant de satisfaire durablement ses clients, connaître les évolutions des attentes est un facteur clé de succès pour l'avenir
 
 

QCM qcm

QCM 01 Des affirmations suivantes, laquelle est correcte ?
Un produit peut être certifié ISO 27001
Un service peut être certifié ISO 27001
Le système de management d’une entreprise peut être certifié ISO 27001
Toute entreprise de plus de 100 personnes doit être certifiée ISO 27001
§ 0.1        bleu
Un produit est certifié d’un point de vue technique d’après un référentiel tel que CE 023 pour un appareil médical par exemple. Seul, le système de management d’une entreprise peut être certifié ISO 27001. La certification est volontaire pour toute entreprise quel qu’en soit la taille
 
 
QCM 02 La première édition de la norme ISO 27001 est apparue en :
1.     1995
2.     1996
3.     2005
Avant-propos           
 
1995 c’est la première version de la norme BS 7799. 1996 c’est la première version de la norme ISO 13335
 
 
QCM 03 La confidentialité c’est la propriété d’une information d’être : (même si le chef n’a pas d’opinion:
1.    Accessible aux seules personnes autorisées
2.    Utilisable en temps voulu
3.    Non altérée
4.    Pour un usage interne
§ 3.10            
Définition de l’ISO 27000 version 2018. 2. C’est la disponibilité. 3. C’est l’intégrité. 4. C’est une classification d’une information, cf. Annexe A.5
 
 

PRATIQUES pratique

Question récurrente :Est-ce que l'affirmation suivante est plutôt une bonne pratique ou un écart à éviter ?

 
PRATIQUE 01 Le diagnostic du contexte de l’entreprise comprend les principaux enjeux externes et internes (même si le chef n'est pas au courant)
Bonne pratique         § 4.1         bleu
Pour comprendre le contexte de l'entreprise, la direction doit déterminer en priorité les enjeux internes et externes
 
PRATIQUE 02 Pour déterminer les enjeux du contexte, l’analyse de l’environnement concurrentiel est prioritaire
Écart à éviter             § 4.1         bleu
La direction doit d'abord déterminer les enjeux internes et externes
 
PRATIQUE 03 L’analyse des besoins et des attentes des parties intéressées est indépendante des produits et services de l'entreprise
Écart à éviter             § 4.2         blanc
Oui, les produits et les services de l'entreprise doivent prendre en compte les besoins et les attentes des parties intéressées
Au contraire, les produits et les services de l'entreprise doivent prendre en compte les besoins et les attentes des parties intéressées
 
 

CAS cas

CAS 01 Contexte
Situation : les enjeux externes et internes influencent sur l’orientation stratégique et la performance globale de l’entreprise
Défi : comment comprendre l’influence des enjeux externes et internes ?
Pour comprendre le contexte de l’entreprise nous devons :
Solution 1 : Surveiller et passer en revue régulièrement les enjeux
Solution 2 : Déterminer l’influence positive ou négative de chaque enjeu
Solution 3 : Utiliser les outils SWOT et PESTEL
§ 4.1         rouge
Toutes ces activités sont très utiles pour analyser le contexte
 
CAS 02 Clients et besoins
Situation : depuis quelques mois l’entreprise connaît une stagnation des ventes. Les non-conformités commencent à remplir la prison
Défi : quelle solution choisir pour inverser la situation ?
Solution 1 : se démarquer de la concurrence avec des prix très bas
Solution 2 : recruter un commercial sortant d’une grande école
Solution 3 : aller au contact des clients et identifier le problème
§ 4.2          bleu
3 : trouver les causes des non-conformités, mettre en place un plan d’action, discuter franchement avec les clients, comprendre leurs besoins et attentes est une condition préalable au redressement de l’entreprise
1 : pratiquer des prix très bas est audacieux mais ce n’est pas une garantie de succès et peut avoir des conséquences financières désastreuses
2 : un nouveau commercial peut apporter des bénéfices mais cela prend beaucoup de temps et demande un investissement conséquent
 
CAS 03 Domaine d’application du SMSI
Situation : nous devons tenir à jour le domaine d’application du SMSI sous la forme d’une information documentée
Défi : que faire pour déterminer le domaine d’application du SMSI ?
Solution 1 : justifier chaque exigence non applicable dans une information documentée
Solution 2 : tenir à jour le domaine d’application du SMSI (les sites, les processus, les produits et services) comme information documentée
Solution 3 : prendre en compte les exigences des parties intéressées et les produits et services fournis
§ 4.3         bleu
Toutes ces activités sont utiles pour la détermination du domaine d’application du SMSI

 

 

 attestation