QEP 程序文件Log Management Procedure日志管理程序DOC NO 文件编号QEP-XXX REV 版本APAGE 页码1 of 3 FP001-05C 1. 目的本规范定义公司信息处理活动或事件过程的日志记录要求,监控并识别未经过授权的访问或安全事件,为公司信息安全审计提供依据。2. 范围信息设备及信息系统的日志收集、监控、审核。3. 定义(无)4. 权责IT 部:负责公司信息设备及信息系统日志收集、监控、审核工作。5. 作业内容5.1 日志分类5.1.1日志的分类包括: 操作系统日志、 应用系统日志、 数据库日志、 网络设备日志和信息安全设备日志。5.1.2每一类日志记录中都必须记录以下基本内容:事件发生的日期和时间、事件描述、操作者信息、成功和失败操作。5.1.3操作系统日志还应记录以下信息1)操作系统的启动/ 关闭信息;2)用户登录 / 退出信息;3)特殊权限使用;4)系统运行状态信息(包括报警、故障信息);5)主机系统服务或配置变更信息。5.1.4数据库日志还应记录以下信息:1)数据库系统的启动/ 关闭信息;2)用户登录 / 退出信息;3)用户的关键操作信息(如添加或删除数据库);4)数据库运行状态信息(包括报警、故障信息)。5.1.5网络设备日志还应记录以下信息:1)设备的启动 / 关闭信息;2)用户登录 / 退出信息;3)端口变化信息;4)设备运行状态信息(包括报警、故障信息)。5.1.6信息安全设备日志还应记录以下信息:QEP 程序文件Log Management Procedure日志管理程序DOC NO 文件编号QEP-XXX REV 版本APAGE 页码2 of 3 FP001-05C 1)设备的启动 / 关闭信息;2)用户登录 / 退出信息;3)端口变化信息;4)信息安全事件信息(如病毒爆发、攻击事件);5)设备运行状态信息(包括报警、故障信息)。5.2 日志管理要求5.2.1记录日志的系统需保持时钟信息与公司的时钟同步服务器同步,信息系统维护人员每月检查时间同步是否正常并予以记录,《日志明细表》见系统中记录。5.2.2日志是进行事件跟踪和追查的最重要的证据日志监控主要针对有关的日志信息进行监控和记录,所有的操作活动都必须被记入日志,不得停用日志服务。5.2.3操作系统、网络设备、应用系统应启用日志功能。重要系统的日志应保留半年以上。日志应该包括但不限于以下内容:1)管理员和操作员的操作日志信息2)系统的成功访问和拒绝访问的记录3)安全事件报警4)错误和故障日志5.2.4有条件时使用合适的审计工具对日志进行查询,或者对日志的副...
