◇BP.08.07保護安全監(jiān)視的記錄數(shù)據(jù)

如果監(jiān)視活動的成果不可信任，那么監(jiān)視活動就沒有價值，因此需要保證與安全監(jiān)視有關(guān)的記錄數(shù)據(jù)得到適當(dāng)?shù)谋Ｗo。監(jiān)視活動包括封存和歸檔相關(guān)的日志、審計報告和相關(guān)分析結(jié)果。

包括審計在內(nèi)的大多數(shù)監(jiān)視活動都產(chǎn)生結(jié)果數(shù)據(jù)，這種結(jié)果數(shù)據(jù)可以直接發(fā)揮作用，或者記錄在案供以后分析和進一步采取行動。日志的內(nèi)容應(yīng)該設(shè)計成有助于理解在突發(fā)事件期間出現(xiàn)了什么，并探測出趨勢和可能發(fā)生的變化。輸出日志應(yīng)該按與所用的策略和規(guī)則相一 致的原則進行管理。日志必須是可靠的和受到保護的，能抗篡改或偶然破壞。當(dāng)日志存貯區(qū)被填滿時，它必須換一個新日志存貯區(qū)或者將它清空。當(dāng)日志改變時，任何不需要的記錄都應(yīng)被刪除并執(zhí)行其它需要的刪簡動作。日志應(yīng)該封存以阻止不可探測的任何修改，還應(yīng)該在法律保護期間內(nèi)歸檔。

工作產(chǎn)品示例：

( 1)列出全部歸檔的日志和相應(yīng)的保存周期——標(biāo)識出與安全監(jiān)視有關(guān)的活動應(yīng)該存貯，以及什么時候進行處理。

(2)應(yīng)提交歸檔的日志的定期現(xiàn)場檢查結(jié)果——描述任何損失的報告并標(biāo)識出恰當(dāng)?shù)捻憫?yīng)。

(3)歸檔日志的使用——識別歸檔日志的使用者，包括訪問時間、目的及任何注解。(4)定期檢查隨機選擇的歸檔日志的有效性和可利用性結(jié)果——分析隨機選取的日志并確定它們是否完整、正確和有用，以保證對系統(tǒng)安全的充分監(jiān)視。