12.4日志和監視

12.4日志和監視

12.4.1事態日志

控制
宜產生、保持并定期評審記錄用戶活動、異常、錯誤和信息安全事態的事態日志。
實現指南
事態日志宜包括相關的：
a) 用戶ID；
b) 系統活動；
c) 關鍵事態的日期、時間和細節，例如登錄和退出；
d) 設備標識或位置（如可能），以及系統標識；
e) 成功的和被拒絕的對系統訪問嘗試的記錄；
f) 成功的和被拒絕的對數據以及其他資源訪問嘗試的記錄；
g) 系統配置的變更；
h) 特定權限的使用；
i) 系統工具和應用程序的使用；
j) 被訪問的文件和訪問類型；
k) 網絡地址和協議；
l) 由訪問控制系統發出的告警；
m) 防護系統的激活和停用，例如防病毒系統和入侵檢測系統；
n) 用戶在應用程序中事務記錄。
事態日志是自動監視系統的基礎，能夠對系統安全產生綜合報告和警報。
其他信息
事態日志可能包含敏感數據和個人可識別信息。宜采取適當的隱私保護措施（見18.1.4）。

12.4.2日志信息的保護

控制
記錄日志的設施和日志信息宜加以保護，以防止篡改和未授權的訪問。
實現指南
宜實現控制以防止日志信息的未授權更改和日志設施的運行問題，包括：
a) 已記錄的消息類型的更改；
b) 日志文件被編輯或被刪除；
c) 超過日志文件存儲介質的容量，導致不能記錄事態或過去記錄事態被寫覆蓋。
一些審計日志可能被要求存檔，以作為記錄保存策略的一部分或由于收集和保留證據的需要（見16.1.7）。
其他信息
系統日志通常包含大量的信息，其中許多與信息安全監視無關。為幫助識別出對信息安全監視目的有重要意義的事態，宜考慮將相應的消息類型自動地拷貝到第二份日志或使用適合的系統實用工具或審計工具執行文件查詢及規范化。

12.4.3管理員和操作員日志

控制
系統管理員和系統操作員活動宜記入日志，并對日志進行保護和定期評審。
實現指南
特權用戶的帳戶持有人可能能夠在其直接控制下操作信息處理設施上的日志，因此有必要保護和評審日志以維護特權用戶的可核查性。
其他信息

12.4.4時鐘同步

控制
一個組織或安全域內的所有相關信息處理設施的時鐘，宜與單一一個基準的時間源同步。
實現指南
宜對內部和外部的時間顯示、同步和準確性的要求形成文件。該要求可以是法律、法規、合同要求、符合的標準或內部監控的要求。宜定義組織內使用的標準的基準時間。
組織從外部源獲得基準時間的途徑以及如何同步內部時鐘宜形成相應的文件并實現。
其他信息