6.16 審計和可核查性（AU）

6.16.1　審計和可核查性方針策略和規程（AU-1）

本項要求包括：

a) 應制定并發布審計和可核查性方針策略，內容至少應包括：目的、范圍、角色、責任、管理層承諾、相關部門的協調、合規性；

b) 應制定并發布審計和可核查性規程，以推動審計和可核查性方針策略及與相關安全控制的實施；

c) 應定期對審計和可核查性方針策略及規程進行評審和更新。

6.16.2　審計事件（AU-2）

本項要求包括：

a) 組織應明確規定審計事件的范圍和審計內容。應至少對以下ICS事件進行審計：成功和未成功的賬號登錄事件、賬號管理事件、客體訪問、策略變更、特權功能、進程跟蹤、系統事件等；

b) 應與需要審計信息的其他相關部門進行安全審計協調，增強相互間的支持，并幫助確定審計事件清單；

c) 應提供已確定的審計事件清單，并闡述其足以支撐安全事件事后調查的理由；

d) 應確定需連續審計的事件清單；

e) 應定期或根據安全威脅情況的變化及時對審計事件清單進行評審和更新；

f）組織應定義審計事件進行定期的審核和升級；

g）應提供編輯審計記錄的能力，這些記錄來自多重部件，這些部件遍布于系統的邏輯層面、物理層面及相關于時序的審計痕跡中；

h）提供對審計事件選擇的集中管理能力，事件選擇被單獨的系統部件所審計。

6.16.3　審計記錄內容（AU-3）

本項要求包括：

a) 應在審計記錄中至少包含：事件類型、事件發生的時間和地點、事件來源、事件結果、與事件相關的用戶或主體的身份等；

b) 審計記錄應使用主題、類型、位置等信息標識審計事件；

c) 組織應集中管理審計內容。

6.16.4　對審計處理失敗的響應（AU-4）

本項要求包括：

a) 應在審計處理失敗時向相關人員報警；

b) 在審計處理失敗時應采取關閉ICS系統、重寫舊的審計記錄、停止產生新的審計記錄等措施；

c) 應盡量在隔離的系統而不是ICS本身執行審計記錄處理；

d) 在組織規定的時間段內，當分配給審計記錄的存儲量達到組織規定的最大審計記錄存儲容量的某一百分比時，ICS向ICS相關負責人提供一個警示；

e) 當組織定義的要求實時報警的審計失效事件發生時，ICS在組織規定的實時報警時間段內，向ICS相關負責人發出報警；

f) ICS執行可配置的流量閾值，反映對審計能力的限制，并拒絕或延遲網絡流量超出這些閾值；

g) 當發生組織定義的審計事件時，ICS需在以下三種情況中選擇一種作為響應：完全或部分宕掉系統、降低運行模式、僅具有有限可用的業務處理能力，除非存在一種可選的審計能力。

6.16.5　審計評審、分析和報告（AU-5）

本項要求包括：

a) 應定期對審計記錄進行評審和分析，以發現異常活動；

b) 應向相關人員匯報審計結果；

c) 應使用自動化機制來整合審查、分析及報告的過程以支持對可疑活動進行的調查和響應；

d) 應對不同審計庫上的審計記錄進行關聯性分析，以便感知ICS整體的安全態勢。

6.16.6　審計歸約和報告生成（AU-6）

本項要求包括：

a) 應具有審計歸約和報告生成的功能，支持按需審計評審、分析和報告要求以及安全事件事后調查；

b) 不應改變原始的審計記錄；

c) 應盡量在隔離的系統而不是ICS本身進行審計歸約和報告生成。

6.16.7　時間戳（AU-7）

本項要求包括：

a) 應使用ICS內部時鐘生成審計記錄的時間戳；

b) 應定期對內部時鐘與權威時間源進行同步。

6.16.8　審計信息的保護（AU-8）

本項要求包括：

a) 應保護審計信息和審計工具，以免遭受未授權訪問、篡改、刪除；

b) 應定期將審計記錄備份到與所審系統或組件不同物理位置的系統或組件之中；

c) ICS在所執行的硬件上，在一次性寫入的媒介上生成審計記錄；

d) 應采用加密機制保護審計信息和審計工具的完整性；

e）組織對訪問審計功能的授權，只限制為一個具有特權的用戶子集；保護審計記錄的非本地訪問，僅為授權的帳戶，并執行授權的功能。

6.16.9　抗抵賴（AU-9）

本項要求包括：

a) 應確保被審計動作的不可否認性；

b）ICS定期把審計記錄反饋到一個與被審計系統不同的系統或媒介上；

c）ICS使用加密機制來保護審計記錄和審計工具的完整性；

d）組織對訪問審計功能的授權，只限制為一個具有特權的用戶子集；

e）ICS在所執行的硬件上，在一次性寫入的媒介上生成審計記錄；

f）保護審計記錄的非本地訪問，僅為授權的帳戶，并執行授權的功能。

6.16.10　審計記錄保留（AU-10）

本項要求包括：

a) 應按照記錄保留策略保存審計記錄以支持安全事件的事后調查，滿足法律法規和組織關于信息保留的要求。

6.16.11　審計生成（AU-11）

本項要求包括：

a) ICS組件應提供相關審計事件的審計記錄生成功能；

b) 應允許相關人員根據ICS組件的特定情況選擇審計事件；

c) 應為審計事件生成符合規定的審計記錄；

d) 應盡量使用自動化機制生成審計記錄；

e) 應按時間相關將審計記錄從組織定義的系統組件轉換為系統的（邏輯或物理）審計跟蹤記錄；

f) 應產生系統的（邏輯或物理）審計跟蹤記錄的標準化格式；

g) 提供在組織規定的時間范圍內，進行ICS審核的能力。