日志管理办法..doc

XXXXXX 日志管理办法  文档信息 基本信息 文档名称 保密级别 内部 文档编号 XX-ISMS-III-08 牵头部门 信息安全领导小组 分发范围 版本修订 生效日期 版本号 版本说明 制作 复审 批准 2016.1.1 1.0 初稿  目录 1. 总则 4 1.1 目的 4 1.2 适用范围 4 2. 组织及职责 4 3. 日志管理细则 4 3.1 日志分类 4 3.2 日志管理策略 6 3.3 日志检查 6 4. 相关文件 7 5. 附则 7 总则 目的 为规范管理XXXXXX（以下简称“XX”）全部已投产业务系统的主机设备以及网络设备所产生的系统日志、重要应用日志，确保各类日志的及时、完全归档，及时发现设备与系统的故障，提高信息系统的可靠性，特制订本管理办法。 适用范围 本规定适用于XX所有内设机构。 组织及职责 科技资源和信息管理部： 负责信息管理部所管辖范围内的信息系统日志的维护和管理工作； 对负责范围内的可疑日志进行分析、处理； 在负责的业务环境和信息安全需求发生重大变化时，对本管理办法进行检查和更新； 根据检查要求定期检查和评估本管理办法的执行情况。 日志管理细则 记录日志的系统必须保持时钟信息与公司的时钟同步服务器同步，信息系统维护人员每月检查时间同步是否正常并予以记录。 日志分类 日志的分类包括：操作系统日志、应用系统日志、数据库日志、网络设备日志和信息安全设备日志。每一类日志记录中都必须记录以下基本内容：事件发生的日期和时间、事件描述，操作者信息，成功和失败操作。 操作系统日志还应记录以下信息： ----操作系统的启动/关闭信息； ----用户登录/退出信息； ----特殊权限使用； ----系统运行状态信息(包括报警、故障信息)； ----主机系统服务或配置变更信息。 应用系统日志还应记录以下信息: ----应用系统的启动/关闭信息； ----关键模块的启动/关闭信息； ----用户的登录/退出信息； ----用户的关键操作信息(如修改密码)； ----应用系统运行状态信息(包括报警、故障信息)； ----服务和配置参数的变更信息。 数据库日志还应记录以下信息： ----数据库系统的启动/关闭信息； ----用户的登录/退出信息； ----用户的关键操作信息（如添加或删除数据库）； ----数据库运行状态信息(包括报警、故障信息)。 网络设备日志还应记录以下信息 ----设备的启动/关闭信息； ----用户登录/退出信息； ----端口变化信息； ----设备运行状态信息(包括报警、故障信息)。 信息安全设备日志还应记录以下信息 ----设备的启动/关闭信息； ----用户登录/退出信息； ----端口变化信息； ----信息安全事件信息（如病毒爆发、攻击事件）； ----设备运行状态信息(包括报警、故障信息)。 日志管理策略 信息系统和IT设备的维护人员应按照以上要求制定日志管理策略，日志内容至少可以保存半年。 所有的操作活动都必须被记入日志,不得停用日志服务。 信息系统和IT设备的维护人员应每周对所管理的信息系统产生的相关日志进行检查，对日志中的错误或可疑项进行记录，如发现可疑的日志记录事件或无法分析判断，应提交至信息中心进行分析处理，处理结果应补充记录到日志检查记录中。 日志文件应集中管理并加以保护，应设置日志文件访问控制权限，防止未授权的访问篡改。 日志信息的收集与调查请参照《信息安全事件管理办法》。 内部审计部门需每季度组织对各系统的日志配置策略和日志检查记录等进行审计，对各系统管理员和系统操作员的活动记录日志每月进行审计。 日志检查 内部审计部门负责组织检查以下内容： 任务编号 检查点 检查内容 检查方法 检查周期 1 审计日志 记录用户活动和信息安全事件的日志，并按照约定的期限进行保留。 查阅周期备份的审计日志。 每季度/每月 2 时钟同步 公司内或统一安全域内的所有相关信息处理设施的时钟应按照约定的正确时间源保持同步。 随机抽查5台网络设备、5台服务器，对其时间一致性比较。 每月 3 故障日志 记录并分析错误日志，并采取适当的措施。 查阅故障日志及跟踪处理措施记录。 每月 相关文件 《信息安全事件管理办法》 附则 本文件由XX科技资源和信息管理部负责解释。 本文件自颁布之日起实行，有新的修改版本颁布后，本文件自行终止。  XXXXXX 日志管理办法 第13页 日志管理办法 第6页 日志管理办法 第4页