A.12.4 日志和监视 | ||
目标:记录事态并生成证据。 | ||
A.12.4.1 | 事态日志 | 控制 应产生、保持并定期评审记录用户活动、异常、错误和信息安全事态的事态日志。 |
A.12.4.2 | 日志信息的保护 | 控制 记录日志的设施和日志信息应加以保护,以防止篡改和未授 权的访问。 |
A.12.4.3 | 管理员和操作员日志 | 控制 系统管理员和系统操作员活动应记入日志,并对日志进行保护和定期评审。 |
A.12.4.4 | 时钟同步 | 控制 一个组织或安全域内的所有相关信息处理设施的时钟,应与单一一个基准的时间源同步。 |
控制解析:
- “A.12.4 日志和监视”是信息处理设施的日志管理的要求,这些内容和要求需体现在《信息处理设施运维与使用安全管理规范》,或单独形成文件《日志管理规范》。
- 需要对信息处理设施(如网络设备、操作系统、安全设备、应用系统等)的日志进行收集,并定期进行评审。
- 收集的日志应按照数据级别进行管理,以防止未授权的访问、篡改和丢失等。
- 系统管理员和系统操作员的操作应有日志,并定期对系统管理员和系统操作员的操作日志进行评审。
- 信息处理设施(如服务器)的时钟应同步。
实施本控制应输出的文档:
- 《信息处理设施运维与使用安全管理规范》和《日志管理规范》(可选)。
- 日志评审记录。
本控制审核要点:
- 重要信息处理设施的日志是如何保存的,保存时间是多久,是否定期对日志进行评审,能否提供评审记录。
- 检查系统管理员和系统操作员是否有操作日志,是否提供日志评审记录。
- 抽查数台服务器时钟是否同步。