日志管理办法

XXXXXX日志管理方法文档信息基本信息文档名称日志管理方法机密等级内部文件编号XX-ISMS-III-08战斗机主导部门信息安全领导小组分发范围修订版生效日期版本号版本说明制作再审承认2016.1.11.0初稿目录1 .总则41.1目的41.2适用范围4二.组织和责任43 .日志管理细则43.1日志分类43.2日志管理策略63.3日志检查6四.有关文件75 .附则71 .总则1.1目的XXXXXX (以下简称“XX”)所有业务系统生产的主机和网络设备发生的系统日志，为了规范地管理重要的应用日志，要及时确保各种日志的完整归档，及时发现设备和系统故障，信息系统信任1.2适用范围本规定适用于XX的所有内置机构。2 .组织和责任技术资源和信息管理部：a )负责信息管理部管辖范围内的信息系统日志的维护和管理b )分析和处理责任范围内的可疑日志；c )负责的业务环境和信息安全需求发生重大变化时，检查和更新本管理方法d )根据检查要求定期检查评估本管理方法的执行情况。3 .日志管理细则记录日志的系统必须使时钟信息与公司的时钟同步服务器同步，信息系统的维护人员每月检查时刻同步是否正常并进行记录。3.1日志分类日志分类包括操作系统日志、应用程序日志、数据库日志、网络设备日志和信息安全设备日志。 各种日志记录必须记录事件发生的日期和时间、事件说明、操作员信息以及成功和失败的基本内容。操作系统日志还必须记录以下信息-操作系统的启动/关闭信息-用户登录/结束信息-使用特殊权限-系统的运行状态信息(包括警报、故障信息)-主机系统的服务或配置更改信息。应用程序系统日志还必须记录以下信息：-应用程序系统的启动/关机信息-重要模块的启动/关机信息-用户登录/注销信息-用户的重要操作信息，如更改密码-应用系统的运行状态信息(包括警报、故障信息)-服务和配置参数更改信息。数据库日志还必须记录以下信息-数据库系统的启动/停止信息-用户登录/注销信息-关键用户操作信息，如添加或删除数据库-数据库的运行状态信息(包括警报、故障信息)。网络设备日志还必须记录以下信息-设备的启动/关机信息-用户登录/结束信息-端口变化信息-设备的运行状态信息(包括警报、故障信息)。信息安全设备日志还必须记录以下信息-设备的启动/关机信息-用户登录/结束信息-端口变化信息-信息安全事件信息(病毒爆炸、攻击事件等)-设备的运行状态信息(包括警报、故障信息)。3.2日志管理策略*信息系统和IT设备维护人员可以根据上述要求制定日志管理战略，并至少保存半年日志内容。*所有操作活动都必须记录在日志中，不能禁用日志服务。*信息系统和IT设备的维护人员每周检查所管理的信息系统中发生的相关日志，记录日志中的错误和可疑事项，如果发现可疑日志记录事件，或者判断不能分析，应提交信息中心进行分析处理，并将处理结果追加记录到日志检查记录中*日志文件需要集中管理和保护。 必须设置日志文件的访问控制权限，以防止未经授权的访问篡改。*日志信息的收集和调查请参阅信息安全事件管理办法。*内部审计部门必须每季度审计每个系统的日志配置策略、日志检查记录等，并且每月审计每个系统管理员和系统操作员的活动日志。3.3日志检查内部审计司负责检查下列项目的组织：任务编号检查点检查内容检查方法检查周期1审计日志记录用户活动和信息安全事件日志并保留在约定的期限内。检查定期备份的审计日志。每季度/每月2时钟同步公司内部或统一安全域内所有相关信息处理设施的时钟必须按照约定的正确时间源同步。随机抽取5台网络设备、5台服务器，比较其时间一致性。每月3故障日志记录和分析错误日志并采取适当措施。检查故障日志和跟踪处理记录。每月4 .有关文件信息安全事件管理办法5 .附则(一)该文件