19.5 審計和監控管理（MCO_AMM）

19.5.1　安全保障管理目的

組織機構應充分發揮系統審計功能，并把其對系統的影響降到最低。

19.5.2　MCO_AMM.1 審計工具的使用

19.5.2.1　管理保障控制組件控制

在進行審計時，組織機構應采取一些控制措施保護正在使用的系統及審計工具，也應采取一些保護措施來保證審計工具的完整性。應防止濫用審計工具。

19.5.2.2　管理保障控制組件注解

組織機構應保護對系統審計工具（軟件或數據文件）的訪問，防止審計工具被濫用或被破壞。審計工具應與開發環境和運行系統分開，不能放在磁帶庫或用戶使用區中，除非有額外的保護。

19.5.3　MCO_AMM.2 監控系統的使用

19.5.3.1　管理保障控制組件控制

組織機構應制定信息處理設施的監控流程，并定期審核監控結果。

19.5.3.2　管理保障控制組件注解

個別基礎設施的監控級別應由風險評估結果確定。組織機構的監控活動應遵守相關的法律要求。監控活動應考慮：
a) 授權訪問的細節：
1) 用戶ID；
2) 重要事件的日期和時間；
3) 時間類型；
4) 文件存取；
5) 使用的規劃/效用；
b) 所有的特權操作，例如：
1) 特權賬戶的使用，例如：超級用戶，根用戶，管理員；
2) 系統啟動和中止；
3) I/O設備安裝/分離；
c) 非授權訪問企圖，例如：
1) 失敗的或被拒絕的用戶活動；
2) 失敗的或被拒絕的活動包括數據和其他資源；
3) 違反訪問策略和網關或防火墻的通告；
4) 來自入侵檢測系統的警報；
d) 系統警報或失敗：
1) 控制臺或消息警報；
2) 系統日志異常；
3) 網絡管理警報；
4) 訪問控制系統的警報；
e) 已改變或企圖改變系統安全的設置和控制。
應依據風險評估所確定的需求決定審核監控結果的頻度。風險因素應包括：
a) 應用過程的危險程度；
b) 信息的價值、敏感度；
c) 系統被滲透和誤用的歷史以及系統暴露出的脆弱點；
d) 系統互連區域（尤其是公網的連接）；
e) 禁用日志功能。

19.5.4　MCO_AMM.3 日志管理

19.5.4.1　管理保障控制組件控制

組織機構應對登錄設備和登錄信息進行日志，應保護日志信息以防止日志信息受到破壞和非法訪問。

19.5.4.2　管理保障控制組件注解

應記錄并分析系統管理員和系統運行活動。