Aller à la navigation principale Aller au contenu Aller à la navigation de bas de page
Répertoire national des certifications professionnelles

CQP Manager de la sécurité et des risques de l'information

Active

N° de fiche
RNCP29571
CCN1 : 3018 - Bureaux d'études techniques, cabinets d'ingénieurs-conseils et sociétés de conseil
CCN2 : -
CCN3 : -
Nomenclature du niveau de qualification : Niveau 7
Code(s) NSF :
  • 326m : Informatique, traitement de l'information
Taux d'insertion moyen dans le(s) métier(s) visé(s) à 6 mois : Non renseigné
Date d’échéance de l’enregistrement : 30-12-2022
Nom légal Nom commercial Site internet
Commission paritaire nationale de l’emploi (CPNE) de la branche professionnelle des bureaux d’études techniques, des cabinets d’ingénieurs-conseils et des sociétés de conseils - Fonds d’assurance formation ingénierie études et conseil (Fafiec) - http://www.fafiec.fr
ATLAS SOUTENIR LES COMPETENCES - -
Activités visées :

Le (la) Manager de la Sécurité et des Risques de l’Information (MSRI) est en charge de la définition de la politique de gestion des risques liés à l'information dans l'entreprise, du déploiement et de l'animation du dispositif de gestion des risques. Ce dispositif intègre des actions anticipatrices de pesée des vulnérabilités et des actions correctrices de défaut de sécurité de l'information.
Le (la) MSRI développe deux approches : la gestion des risques liés à l’information et la sécurité des informations.
Il-elle veille à la cohérence entre la politique de sécurité et de gestion des risques qu’il-elle détermine et met en place et le dispositif mis en place par la direction de la sécurité des systèmes d’information. 
Le (la) MSRI doit également anticiper et gérer les incidents et crises : il (elle) est en prise avec le quotidien de l’entreprise et fait évoluer les actions pour prévenir et détecter les agressions. Il (elle) coordonne l'audit des dispositifs de gestion de crises. Il-elleest garant(e) de la mise en place de bonnes pratiques au sein de l’organisationdans un souci permanent de sensibilisation du personnel (interne ou de l’entreprise élargie : les entreprises partenaires, tels que les sous-traitants, les prestataires) aux risques.
Liste des activités visées :
A1 - Définition et organisation de la gouvernance des risques liés à l’information au sein de l’entreprise et dans l’entreprise élargie (entreprises partenaires : prestataires externes, fournisseurs etc.) : définition de la politique de gestion des risques et de la sécurité liés à l’information (intégrant la chaîne de recherche, de traitement et de diffusion de l’information et intégrant les risques de l’information) et déclinaison des procédures associées
A2 - Définition et pilotage du dispositif de maîtrise des risques liés à l’information : identification de tous types des menaces entrant dans son périmètre d’intervention, mise en place d’un système d’évaluation des risques identifiés et définition de mesures pour répondre à la menace et à la gestion de celle-ci.
A3 - Définition et supervision du dispositif de gestion des incidents et des crises : prévention et détection des agressions, coordination des dispositifs de gestion de crises/incidents.
A4 - Evaluation régulière du dispositif de gestion des risques liés à l’information : réalisation d’audits, définition de plan d’action, évaluation du dispositif
A5 - Diffusion de la culture de prévention des risques liés à l’information : sensibilisation et communication auprès des différents acteurs de l’entreprise sur la prévention des risques liés à l’information.
A6 - Management de la politique de la gestion des risques et de la sécurité liés à l’information et des dispositifs associés au sein de l’entreprise et de l’entreprise élargie (management de projet/des dispositifs liés à la gestion des risques et de la sécurité au sein de l’entreprise : évolution réglementaire, conformité avec une norme, développement d’une nouvelle activité etc.)

Compétences attestées :

Capacités attestées
C11 - Intégrer les orientations liées à la validité et à la protection de l’information
C12 - Déterminer les compétences de l’organisation pour répondre aux objectifs
C21 - Anticiper les risques liés à l’information (activités, organisation, système d’information, outils dématérialisés, événements extérieurs…)
C22 - Evaluer les risques et les vulnérabilités liés à l’information de l’entreprise
C23 - Proposer des mesures de réduction des risques (intégrées, par exemple, dans des plans de sauvegarde, de protection, en mode dégradé et de reprise)
C24 - Définir et budgéter les mesures de réduction des risques à mettre en place avec les équipes
C25 - Mettre en place et piloter un système de mesure d’efficacité des actions entreprises avec des indicateurs appropriés
C31 - Assurer un rôle de coordination entre les différentes fonctions de l’entreprise en situation d’incident ou de crise (DG et fonctions de direction, DSI, directions métiers, RSSI)
C32 - Déclencher et superviser le dispositif de gestion de l’incident ou de crise
C33 - Evaluer la réponse de l’entreprise aux incidents survenus
C34 - Proposer les actions correctives en suivant leur mise en œuvre
C41 - Contrôler la bonne application par les parties prenantes de l’entreprise des directives en matière de gouvernance des risques
C42 - Procéder à des audits de sécurité des systèmes d’information et de processus
C43 - Analyser les résultats et proposer des plans d’actions
C44 - Piloter les plans d’actions et s’assurer de la réduction des risques
C51 - Définir la culture de prévention des risques liés à l’information
C52 - Sensibiliser les directions métiers aux risques liés à l’information
C53 - Argumenter les mesures préconisées sur les risques identifiés auprès de la direction générale
C54 - Sensibiliser les salariés dans la mise en œuvre des outils et méthodes proposées (formations, procédures, mode opératoire, instruction, prévention…) 
C61 - Manager la gestion des risques et de la sécurité liés à l'information au sein e l'entreprise et dans l'entreprise élargie.

N° et intitulé du bloc Liste de compétences Modalités d'évaluation
RNCP29571BC01

Diffuser la culture de prévention des risques liés à l’information

Descriptif
•Définir la culture de prévention des risques liés à l’information
•Sensibiliser les directions métiers aux risques liés à l’information
•Argumenter les mesures préconisées sur les risques identifiés auprès de la direction générale
•Sensibiliser les salariés dans la mise en œuvre des outils et méthodes proposées (formations, procédures, mode opératoire, instruction, prévention...)
Modalités d’évaluation
Mise en pratique professionnelle reconstituée :
•portant sur la réalisation d’un plan de communication
•et donnant lieu à 1 rapport écrit et 1 présentation individuelle devant un binôme d’évaluateurs
Obtention du bloc de compétences
Validation par le jury paritaire national du Bloc de Compétences matérialisée par une attestation.

RNCP29571BC02

Définir et organiser la gouvernance des risques liés à l’information

Descriptif
•Intégrer les orientations liées à la validité et à la protection de l’information
•Déterminer les compétences de l’organisation pour répondre aux objectifs
•Formaliser des procédures, des référentiels de sécurité et des bonnes pratiques.
•Assurer une veille sur les enjeux de conformité réglementaires, les nouvelles menaces, notamment liées aux nouveaux comportements, et les solutions pour les couvrir.
•Coordonner l’application de la réglementation et des procédures de sécurité par toutes les fonctions de l’entreprise
Modalités d’évaluation
Mise en pratique professionnelle reconstituée :
•Portant sur la définition de la politique de gestion des risques et de la sécurité liés à l’information et l’élaboration du processus de management des risques liés à l’information
•et donnant lieu à 1 rapport écrit et 1 présentation individuelle devant un binôme d’évaluateurs
Obtention du bloc de compétences
Validation par le jury paritaire national du Bloc de Compétences matérialisée par une attestation.

RNCP29571BC03

Définir et piloter le dispositif de maîtrise des risques liés à l’information

Descriptif
•Anticiper les risques liés à l'information (activités, organisation, système d'information, outils dématérialisés, événements extérieurs...)
•Evaluer les risques et les vulnérabilités liés à l’information de l’entreprise
•Proposer des mesures de réduction des risques (intégrées, par exemple, dans des plans de sauvegarde, de protection, en mode dégradé et de reprise)
•Définir et budgéter les mesures de réduction des risques à mettre en place avec les équipes
•Mettre en place et piloter un système de mesure d'efficacité des actions entreprises avec des indicateurs appropriés
Modalités d’évaluation
Mise en pratique professionnelle reconstituée :
•portant sur la réalisation d’une cartographie des risques et l’élaboration d’un plan de traitement des risques
•et donnant lieu à 1 rapport écrit et 1 présentation individuelle devant un binôme d’évaluateurs
Obtention du bloc de compétences
Validation par le jury paritaire national du Bloc de Compétences matérialisée par une attestation.

RNCP29571BC04

Définir et superviser le dispositif de gestion des incidents et des crises

Descriptif
•Assurer un rôle de coordination entre les différentes fonctions de l’entreprise en situation d’incident ou de crise (DG et fonctions de direction, DSI, directions métiers, RSSI)
•Déclencher et superviser le dispositif de gestion de l’incident ou de crise
•Evaluer la réponse de l’entreprise aux incidents survenus
•Proposer les actions correctives en suivant leur mise en œuvre
Modalités d’évaluation
Mise en pratique professionnelle reconstituée :
•portant sur l’élaboration de 2 procédures (l’une relative à la gestion des incidents, l’autre relative à la gestion des crises) et la réalisation d’un tableau de bord de gestion des incidents accompagné de fiches actions
•et donnant lieu à 1 rapport écrit et 1 présentation individuelle devant un binôme d’évaluateurs
Obtention du bloc de compétences
Validation par le jury paritaire national du Bloc de Compétences matérialisée par une attestation.

RNCP29571BC05

Evaluer le dispositif de gestion des risques liés à l’information

Descriptif
•Contrôler la bonne application par les parties prenantes de l’entreprise des directives en matière de gouvernance des risques
•Procéder à des audits de sécurité des systèmes d’information et de processus.
•Analyser les résultats et proposer des plans d’actions
•Piloter des plans d’actions et s’assurer de la réduction des risques
Modalités d’évaluation
Mise en pratique professionnelle reconstituée :
•portant sur la réalisation d’une analyse des risques et l’élaboration d’un plan d’actions correctrices
•et donnant lieu à 1 rapport écrit et 1 présentation individuelle devant un binôme d’évaluateurs
Obtention du bloc de compétences
Validation par le jury paritaire national du Bloc de Compétences matérialisée par une attestation.

Description des modalités d'acquisition de la certification par capitalisation des blocs de compétences et/ou par équivalence :
Secteurs d’activités :

Les fonctions de Manager de la Sécurité et des Risques de l’Information peuvent être exercées au sein :
-       des entreprises des secteurs du numérique, de l’ingénierie, des études et du conseil et des métiers de l’évènement ;
de toutes les entreprises, quels que soient la taille et le secteur d’activité de celles-ci à partir du moment où la gestion de la sécurité et des risques liés à l’information est une nécessité pour l’entreprise.

Type d'emplois accessibles :

-       Consultant en management des Risques et de la Sécurité de l’Information
 -       Manager des Risques et de la Sécurité et de l’Information

Code(s) ROME :
  • M1802 - Expertise et support en systèmes d''information
Références juridiques des règlementations d’activité :
Le cas échéant, prérequis à la validation des compétences :


Validité des composantes acquises :
Voie d’accès à la certification Oui Non Composition des jurys
Après un parcours de formation sous statut d’élève ou d’étudiant X -
En contrat d’apprentissage X -
Après un parcours de formation continue X

Le jury paritaire est composé à 50% de représentants des salariés et à 50% de représentants des employeurs.

En contrat de professionnalisation X

Le jury paritaire est composé à 50% de représentants des salariés et à 50% de représentants des employeurs.

Par candidature individuelle X

Le jury paritaire est composé à 50% de représentants des salariés et à 50% de représentants des employeurs.

Par expérience X

Le jury VAE est composé de 2 membres de la CPNEFP (1 représentant des salariés et 1 représentant des employeurs) et de 2 professionnels habilités par la CPNEFP.

Oui Non
Inscrite au cadre de la Nouvelle Calédonie X
Inscrite au cadre de la Polynésie française X
Lien avec d’autres certifications professionnelles, certifications ou habilitations : Non

Référence des arrêtés et décisions publiés au Journal Officiel ou au Bulletin Officiel (enregistrement au RNCP, création diplôme, accréditation…) :

Date du JO / BO Référence au JO / BO
-

Arrêté du 27 décembre 2017 publié au Journal Officiel du 30 décembre 2017 portant enregistrement au répertoire national des certifications professionnelles. Enregistrement pour cinq ans, sous l'intitulé "Certificat de qualification professionnelle Manager de la sécurité et des risques de l'information" avec effet au du 30 décembre 2017, jusqu'au du 30 décembre 2022.

Date du dernier Journal Officiel ou Bulletin Officiel : 30-12-2017
Date d'échéance de l'enregistrement 30-12-2022
Statistiques :
Lien internet vers le descriptif de la certification :

Le certificateur n'habilite aucun organisme préparant à la certification

Fiche au format antérieur au 01/01/2019
Ouvre un nouvel onglet Ouvre un site externe Ouvre un site externe dans un nouvel onglet