欢迎来到华道众合官网收藏本站  |  网站地图  |  联系我们
HOME 首页 > ISO27001认证 > ISO27001认证_“A.12.4 日志和监视”条款理解与应用

ISO27001认证_“A.12.4 日志和监视”条款理解与应用

文章来源:华道众合  添加时间:2021/1/20
A.12. 4 日志和监视
目的∶记录事态并生成证据。
【标准条款】
A.12.4.1 事态日志
应产生、保持并定期评审记录用户活动、异常、错误和信息安全事态的事态日志。
【理解与应用】
事态日志,一般包括如下相关信息∶
(1)用户ID;
(2)系统活动;
(3)关键事态的日期、时间和细节,例如登录和退出;
(4)设备标识或位置(如可能),以及系统标识;
(5)成功的和被拒绝的对系统访问尝试的记录;
(6)成功的和被拒绝的对数据以及其他资源访问尝试的记录;
(7)系统配置的变更;
(8)特定权限的使用;
(9)系统工具和应用程序的使用;
(10)被访问的文件和访问类型;
(11)网络地址和协议;
(12)由访问控制系统发出的告警;
(13)防护系统的激活和停用,例如防病毒系统和入侵检测系统;
(14)用户在应用程序中事务记录。
事态日志是自动监视系统的基础,能够对系统安全产生综合报告和警报。
需要关注的是:事态日志可能包含敏感数据和个人可识别信息。宜采取适当的隐私保护措施(见A.18.1.4隐私和个人可识别信息保护)。可能时,系统管理员宜不具有删除或停用其自身活动日志(见A.12.4.3 管理员和操作员日志)的权限。
 
【标准条款】
A.12.4.2 日志信息的保护
记录日志的设施和日志信息应加以保护,以防止篡改和未授权的访问。
【理解与应用】
宜实现控制以防止日志信息的未授权更改和日志设施的运行问题,包括∶
(1)已记录的消息类型的更改;
(2)日志文件被编辑或被删除;
(3)超过日志文件存储介质的容量,导致不能记录事态或过去记录事态被覆盖。
一些审计日志可能被要求存档,以作为记录保存策略的一部分或由于收集和保留证据的需要(见A.16.1.7)。
需要关注的是∶
(1)系统日志通常包含大量的信息,其中许多与信息安全监视无关。为帮助识别出对信息安全监视目的有重要意义的事态,宜考虑将相应的消息类型自动地拷贝到第二份日志或使用适合的系统实用工具或审计工具执行文件查询及规范化。
(2)需要保护系统日志,因为如果其中的数据被修改或删除,可能导致一个错误的安全判断。系统管理员或操作员控制之外的系统日志的实时复制可被用于保护日志。
 
【标准条款】
A.12.4.3 管理员和操作员日志
系统管理员和系统操作员活动应记入日志,并对日志进行保护和定期评审。
【理解与应用】
特权用户的账户持有人可能能够在其直接控制下操作信息处理设施上的日志,因此有必要保护和评审日志以保持特权用户的可核查性。
需要关注系统和网络管理员控制之外的入侵检测系统可被用于监视系统和网络管理活动的符合性。
 
【标准条款】
A.12.4.4 时钟同步
一个组织或安全域内的所有相关信息处理设施的时钟,应与单一一个基准的时间源同步。
【理解与应用】
宜对内部和外部的时间显示、同步和准确性的要求形成文件。该要求可以是法律、法规、合同要求、符合的标准或内部监控的要求。宜定义组织内使用的标准的基准时间。
组织从外部源获得基准时间的途径以及如何同步内部时钟宜形成相应的文件并实现。
需要关注的是∶ 正确设置计算机时钟对确保审计记录的准确性是重要的,审计日志可用于调查或作为法律、纪律处理的证据。不准确的审计日志可能妨碍调查,并损害这种证据的可信性。可使用链接到源于国家原子钟的无线电广播时间,作为日志生成系统的主时钟。可使用网络时间协议来保持所有服务器与主时钟完全同步。
您可能还想看
网站首页    |    ISO20000认证    |    ISO27001认证    |    ISO27000认证    |    行业知识    |    查询下载    |    认证证书    |    关于我们    |    联系方式