7.8 監視安全態勢

7.8.1　基本要求

應標識并報告所有的安全違規行為；監視外部和內部環境中可能影響系統安全的所有因素；探測和跟蹤內部和外部與安全有關的事件。根據策略制定響應突發事件的措施；根據安全目標標識并處理運行安全態勢的變化。

7.8.2　分析事件記錄

檢測安全相關性信息的歷史和事件記錄，通過多條記錄中的事件相關元素，標識出安全事件；分析事件記錄，以確定事件的原因、預測可能發生的事件。

7.8.3　監視變化

監視威脅、脆弱性、影響、風險和環境方面的變化，查找可能影響當前安全狀態有效性的任何變化；監視所有因素的變化并分析這些變化以評估它們對安全有效性的意義。

7.8.4　標識安全突發事件

7.8.4.1　

確定是否發生了一個有關安全的突發事件，標識出事件詳細情況并且在必要時提出報告；有關安全的突發事件可利用歷史事件的數據、系統配置數據、完整性工具和其它系統信息診斷。

7.8.4.2　

標識與安全相關的突發事件。

7.8.5　監視安全防護措施

7.8.5.1　

檢測安全防護措施的執行情況，標識出安全防護措施執行中的變化。

7.8.5.2　

監視安全防護措施的性能和有效性。

7.8.6　檢查安全態勢

檢查系統安全態勢以標識出必要的更正，評審實施安全的理由并根據其它的規則檢查需要安全的地方。

7.8.7　管理安全突發事件響應

應急計劃要求標識出系統失效的最長時間、系統正常工作的基本元素；開發一個可恢復策略和計劃，測試并維護該計劃。

7.8.8　保護安全監視的記錄數據

保證與安全監視有關的設備得到相應的保護，監視活動包括封存和歸檔相關的日志、審計報告和相關分析結果。