B.17 審計與問責（AU）

B.17 審計與問責（AU）

B.17.1　審計與問責策略和規程（AU-1）

控制：
組織應：
a） 制定并發布正式的安全審計策略，內容包括目的、范圍、角色、責任、管理承諾、組織實體之間的協調關系以及依從關系等。
b） 制定并發布正式的安全審計章程，以推動審計和可核查性方針策略及與相關安全控制的實施；
c） 按【賦值：組織定義的時間間隔】，對審計和可核查性方針策略及規程進行評審和更新。
補充指導：
a） 安全審計策略和章程應與相關的法律、可執行命令，指令、策略、規則及標準相一致。
b） 安全審計策略可以包含在組織的通用信息安全策略中，作為其一部分。
c） 相關安全控制：PM-9。

B.17.2　審計事件（AU-2）

控制：
a) 組織應明確規定審計事件范圍和審計內容。審計范圍應覆蓋到ICS的每個用戶，審計內容應包括重要用戶行為、系統資源的異常使用和重要系統命令的使用等系統內重要的安全相關事件。
補充指導：
a） 安全審計的目的是為了記錄那些與ICS安全相關的重要的審計事件，應該指明哪些ICS部件需要執行審計行為；
b） 現場設備審計事件應包括：用戶登錄、退出事件，連接超時事件，配置變更，時間/日期變更，審計接入，ID/密碼創建和修改等；
c） 審計行為會影響ICS的效率，因此，應該基于風險評估確定哪些事件需要進行常規審計，哪些事件需要相應于特殊環境的審計；
d） 大多數ICS的審計發生在應用層上。
e） 相關安全控制：AC-6、AU-3、MA-4、MP-2、SI-4。
控制增強：
a） 應提供編輯審計記錄的能力，這些記錄來自多重部件，這些部件遍布于系統的邏輯層面、物理層面及相關于時序的審計痕跡中；
b） 提供對審計事件選擇的集中管理能力，事件選擇被單獨的系統部件所審計；

B.17.3　審計記錄的內容（AU-3）

控制：
a) 審計記錄應包含足夠的信息，以便確定什么事件發生了、事件的來源、事件的結果等。
補充指導：
a) 審計記錄應包括事件的日期、時間、類型、主體標識、客體標識和結果等。
b) 相關安全控制：AU-2、AU-8。
控制增強：
a) 審計記錄應使用主題、類型、位置等信息標識審計事件；

B.17.4　審計存儲能力（AU-4）

控制：
a) 組織應規定【賦值：審計記錄的保存期限】，并保證審計記錄的存儲空間。
補充指導：
a） 為方便安全事故提供事后調查和滿足信息保留要求和規定，應在指定時間內保存審計記錄，直到這些記錄不會被行政、法律、審計或者其他操作目的所使用。審計記錄和報表保存時間應不少于三個月，現場設備應至少支持2048個事件記錄；
b） 應分配足夠的審計記錄存儲空間，減少空間不足的可能性。
c） 相關安全控制：AU-2、AU-5、AU-6、AU-7。

B.17.5　審計失效響應（AU-5）

控制：
ICS應：
a) 對于審計處理失效的事件，向【賦值：組織定義的人員】報警；
b) 采取賦值：【選擇：組織定義的動作】，例如：停止系統的運行，重寫原有的審計記錄，停止生成新的審計記錄等。
補充指導：
a) 審計處理失效包括軟硬件錯誤、審計獲取機制失敗、審計存儲空間達到或超出極限等；
b) 組織可針對不同審計處理失效（例如，由于類型、位置、嚴重程度或這些因素的組合），選擇定義附加的措施；
c) 該控制應用于每個審計數據存儲庫（即存儲審計記錄的ICS部件），應用于組織的整個審計存儲能力（即組合了所有審計數據存儲庫）；
d) 一般地，不能在ICS上執行審計記錄的處理，而在隔離的信息系統上進行處理；
e) 在ICS不支持審計的情況下，包括對審計失效的響應，組織應按裁剪指導，使用合適的補償控制（例如，在隔離的信息系統上提供審計能力）。
f) 相關安全控制：AU-4、SI-12。
控制增強：
a) 對審計處理失效|審計存儲能力的響應
在【賦值：組織定義的時間段】內，當分配給審計記錄的存儲量達到【賦值：組織定義的最大審計記錄存儲容量】的某一百分比時，ICS向【賦值：組織定義的人員、角色或崗位】提供一個警示。
b) 對審計處理失效|實時報警的響應
當【賦值：組織定義的、要求實時報警的審計失效事件】發生時，ICS在【賦值：組織定義的實時報警時間段】內，向【賦值：組織定義的人員，角色和崗位】發出報警。
c) 對審計處理失效|可配置的流量閾值的響應
ICS執行可配置的流量閾值，反映對審計能力的限制，并【選擇：拒絕、延遲】網絡流量超出這些閾值。
d) 對審計處理失效|失效宕機的響應

B.17.6　審計信息的監控、分析和報告（AU-6）

控制：
a) 組織應按【賦值：組織定義的時間間隔】對審計記錄數據進行分析，并生成審計報告。
補充指導：
a） 應按【賦值：組織定義的時間間隔】的回顧、分析審計記錄，這些記錄包含了不恰當或不尋常的行為；
b） 調查可疑行為和入侵行為；
c） 生成審計報表，并向相關人員報告這些事件，同時采取必要的措施。
d） AC-2、AC-3、AT-3、AU-7、CM-5。
控制增強：
a） 采用自動的機制，將審計監控、分析、報告聯結成一個完整的審計過程；

B.17.7　審計簡化和報告生成（AU-7）

控制：
a) 提供審計簡化和報告生成能力。
補充指導：
a） 審計簡化和報告生成能力，可有效支持AU-6中所描述的及時的審計評審、分析和報告需求，支持安全事件之后的事實研究；
b） 審計簡化和報告工具并不警示原始的審計紀律；
c） 審計簡化和報告生成一般不在ICS上執行，而在隔離的信息系統上進行；
d） 在某些情況下，ICS不支持審計簡化和報告生成，組織應按裁剪指導，使用合適的補償控制（例如，在隔離的信息系統上提供審計能力）。
e） 相關安全控制：AU-6。
控制增強：

B.17.8　時間戳（AU-8）

控制：
a) 應使用內部時鐘，為審計記錄生成時間戳。
補充指導：
a） 由ICS生成的審計事件應包括日期和時間等時間信息。
b） 相關安全控制：AU-3。
控制增強：

B.17.9　審計信息保護（AU-9）

控制：
a) 應保護審計信息和審計工具，避免受到未授權訪問、修改、刪除或覆蓋等行為的破壞。
補充指導：
a） 審計信息包括審計ICS行為的所有信息，包括審計記錄、審計設置、審計報告等。
b） 相關安全控制：AC-3、AC-6、MP-2、MP-4、PE-2。
控制增強：
a） ICS在所執行的硬件上，在一次性寫入的媒介上生成審計記錄；
b） ICS按【賦值：組織定義的時間間隔】，把審計記錄反饋到一個與被審計系統不同的系統或媒介上；
c） ICS使用加密機制來保護審計記錄和審計工具的完整性；

B.17.10　抗抵賴（AU-10）

控制：
a) 應防止個體否認執行過一個特定的動作。
補充指導：
a） 審計信息包括審計ICS行為的所有信息，包括審計記錄、審計設置、審計報告等。
b） 相關安全控制：SC-12、SC-8。
控制增強：
a） ICS在所執行的硬件上，在一次性寫入的媒介上生成審計記錄；
b） ICS按【賦值：組織定義的時間間隔】，把審計記錄反饋到一個與被審計系統不同的系統或媒介上；
c） ICS使用加密機制來保護審計記錄和審計工具的完整性；
d） 組織對訪問審計功能的授權，只限制為一個具有特權的用戶子集；

B.17.11　審計信息保留（AU-11）

控制：
a) 組織應按【賦值：組織定義的時間長度】保留審計記錄，提供事件方式時回顧、分析支持。
補充指導：
a) 組織保留審核記錄，直至確定不再需要；
b) 審計記錄通常根據事件發生時所采取的動作和響應過程進行分類。
c) 相關安全控制：AU-4、AU-5。

B.17.12　審計生成（AU-12）

控制：
a) ICS應提供可審計事件的審計記錄的生成能力；
b) 應允許【賦值：組織定義的人員或角色】對特定組件可審計事件進行審計；
c) 應對AU-2定義的事件按照AU-3所需的內容生成審計記錄。
補充指導：
a) ICS組件均應可以對事件生成審計記錄；
b) 生成的審計日志應是一組事件列表；
c) 生成的審計日志通常是一個事件的子事件；
d) 在ICS不支持使用自動化機制來生成審計記錄的情況下，組織應按裁剪指導，使用非自動化的機制或規程作為一個補償控制。
e) 相關安全控制：AC-3、AU-2、AU-3、AU-6、AU-7。
控制增強：
a) 應按時間相關將審計記錄從【賦值：組織定義的系統組件】轉換為系統的（邏輯或物理）審計跟蹤記錄；
b) 應產生系統的（邏輯或物理）審計跟蹤記錄的標準化格式；