信息系统日志留存管理办法

信息系统日志留存管理办法一、总则（一）目的依据。为规范信息系统日志留存管理，保障信息系统安全稳定运行，维护国家信息安全，依据《中华人民共和国网络安全法》《信息安全技术网络安全等级保护基本要求》等法律法规，制定本办法。本办法适用于本单位所有信息系统及相关日志数据的留存、使用和管理。（二）适用范围。本办法所称信息系统包括但不限于业务系统、管理信息系统、网络设备、安全设备等，所称日志数据包括但不限于系统日志、应用日志、安全日志、操作日志、设备日志等。所有信息系统运营、使用单位及相关部门必须遵守本办法。（三）基本原则。日志留存管理应当遵循合法合规、安全可控、最小必要、及时删除的原则，确保日志数据的真实性、完整性、可用性，防止日志数据泄露、篡改、丢失。二、组织职责（一）职责划分。信息中心是信息系统日志留存管理的归口部门，负责制定日志留存策略，监督日志留存执行情况。各业务部门负责本部门信息系统日志的采集、整理和初步分析。安全管理部负责日志安全防护和审计监督。各信息系统运营单位负责人是本单位日志留存管理的第一责任人。（二）权限管理。信息中心有权对各单位日志留存管理情况进行检查和指导。安全管理部有权对日志数据进行分析和审计，发现异常情况应及时通报相关单位。各业务部门及信息系统运营单位有权在授权范围内使用日志数据，不得超出授权范围使用。（三）人员管理。所有接触日志数据的人员必须经过信息安全培训，掌握日志管理相关知识和技能。信息系统运营单位应指定专人负责日志管理，并定期进行考核。三、日志采集与生成（一）采集要求。所有信息系统必须按照国家相关标准和技术规范采集日志数据，确保日志数据的完整性。日志采集应采用自动采集方式，不得人为干预。采集到的日志数据必须实时传输至日志管理系统。（二）生成规范。日志数据必须包含时间戳、设备标识、用户标识、操作类型、操作结果等基本信息。日志格式应符合国家相关标准，不得使用自定义格式。日志数据必须真实反映系统运行情况，不得伪造或篡改。（三）采集设备。各信息系统必须配备日志采集设备，采集设备应具备数据加密、防篡改等功能。采集设备应定期进行维护和更新，确保采集设备正常运行。四、日志留存期限（一）留存标准。信息系统日志留存期限应根据信息系统安全等级、日志类型、法律法规要求等因素确定。一般信息系统日志留存期限不得少于6个月，重要信息系统日志留存期限不得少于1年，涉及国家秘密的信息系统日志留存期限由信息中心根据国家相关规定确定。（二）调整机制。各信息系统运营单位可根据实际需要调整日志留存期限，但调整后的留存期限不得低于国家最低要求。调整日志留存期限必须经过信息中心审核批准。（三）到期处理。日志数据达到留存期限后，信息系统运营单位应按照规定进行销毁。销毁前应进行备份，备份数据应妥善保管。销毁方式应符合国家相关标准，确保数据无法恢复。五、日志安全防护（一）存储安全。日志数据存储应采用加密存储方式，防止数据泄露。日志存储设备应放置在安全的环境中，防止物理损坏或非法访问。日志存储设备应定期进行备份，备份数据应异地存储。（二）传输安全。日志数据传输应采用加密传输方式，防止数据在传输过程中被窃取或篡改。日志传输路径应尽量避免经过公共网络，必须经过公共网络的应采用VPN等方式进行传输。（三）访问控制。日志数据访问必须经过授权，未经授权不得访问日志数据。访问日志数据必须记录操作日志，包括操作时间、操作人员、操作内容等。日志访问权限应根据最小必要原则进行分配，并定期进行审查。六、日志使用与管理（一）使用范围。日志数据仅可用于信息系统运维、安全审计、故障排查等合法用途，不得用于其他用途。各业务部门及信息系统运营单位不得将日志数据用于商业目的。（二）使用流程。使用日志数据必须经过审批，审批人应根据使用目的、使用范围、使用期限等因素进行审批。使用日志数据必须记录操作日志，包括操作时间、操作人员、操作内容等。（三）数据分析。信息中心应定期对日志数据进行分析，发现异常情况应及时通报相关单位。各业务部门及信息系统运营单位应根据需要开展日志数据分析，但不得超出授权范围。七、监督检查与责任追究（一）检查机制。信息中心应定期对各单位日志留存管理情况进行检查，检查内容包括日志采集、存储、传输、使用等各个环节。安全管理部应定期对日志安全防护情况进行检查，检查内容包括日志存储设备安全、传输路径安全、访问控制等。（二）检查方式。日志留存管理检查可采用现场检查、远程检查、抽查等方式。检查发现的问题应及时通报相关单位，并限期整改。（三）责任追究。对违反本办法的行为，视情节轻重给予警告、通报批评、罚款、降级、撤职等处分。构成犯罪的，依法追究刑事责任。对因日志留存管理不善导致信息系统安全事件或造成重大损失的，应追究相关单位和人员的责任。八、附则（一）解释权。本办法由信息中心负责解释。（二）生效日期。本办法自发布之日起施行。（三）修订程序。本办法应根据国家法律法规和技术标准的变化进行修订，修订程序由信息中心制定。（四）配套措施。各信息系统运营单位应根据本办法制定本单位的日志留存管理细则，细则不得与本办法相抵触。（五）培训要求。信息中心应定期对各单位进行日志留存管理培训，确保相关人员掌握日志