◇BP.08.07保護(hù)安全監(jiān)視的記錄數(shù)據(jù)

如果監(jiān)視活動(dòng)的成果不可信任，那么監(jiān)視活動(dòng)就沒(méi)有價(jià)值，因此需要保證與安全監(jiān)視有關(guān)的記錄數(shù)據(jù)得到適當(dāng)?shù)谋Ｗo(hù)。監(jiān)視活動(dòng)包括封存和歸檔相關(guān)的日志、審計(jì)報(bào)告和相關(guān)分析結(jié)果。

包括審計(jì)在內(nèi)的大多數(shù)監(jiān)視活動(dòng)都產(chǎn)生結(jié)果數(shù)據(jù)，這種結(jié)果數(shù)據(jù)可以直接發(fā)揮作用，或者記錄在案供以后分析和進(jìn)一步采取行動(dòng)。日志的內(nèi)容應(yīng)該設(shè)計(jì)成有助于理解在突發(fā)事件期間出現(xiàn)了什么，并探測(cè)出趨勢(shì)和可能發(fā)生的變化。輸出日志應(yīng)該按與所用的策略和規(guī)則相一 致的原則進(jìn)行管理。日志必須是可靠的和受到保護(hù)的，能抗篡改或偶然破壞。當(dāng)日志存貯區(qū)被填滿時(shí)，它必須換一個(gè)新日志存貯區(qū)或者將它清空。當(dāng)日志改變時(shí)，任何不需要的記錄都應(yīng)被刪除并執(zhí)行其它需要的刪簡(jiǎn)動(dòng)作。日志應(yīng)該封存以阻止不可探測(cè)的任何修改，還應(yīng)該在法律保護(hù)期間內(nèi)歸檔。

工作產(chǎn)品示例：

( 1)列出全部歸檔的日志和相應(yīng)的保存周期——標(biāo)識(shí)出與安全監(jiān)視有關(guān)的活動(dòng)應(yīng)該存貯，以及什么時(shí)候進(jìn)行處理。

(2)應(yīng)提交歸檔的日志的定期現(xiàn)場(chǎng)檢查結(jié)果——描述任何損失的報(bào)告并標(biāo)識(shí)出恰當(dāng)?shù)捻憫?yīng)。

(3)歸檔日志的使用——識(shí)別歸檔日志的使用者，包括訪問(wèn)時(shí)間、目的及任何注解。(4)定期檢查隨機(jī)選擇的歸檔日志的有效性和可利用性結(jié)果——分析隨機(jī)選取的日志并確定它們是否完整、正確和有用，以保證對(duì)系統(tǒng)安全的充分監(jiān)視。