日志管理与审核操作规程.docxVIP

XXX公司 日志管理与审核操作规程 1．引言 为促进XXX公司数据安全管理健康有序开展，进一步加强对数据安全日志的管理工作，切实保障公司数据资产安全，保障用户合法权益，特制定本日志管理与审核操作规程，作为本公司数据安全相关系统平台开展日志管理的依据。 2．总则 2.1目的及依据 本规程在国标以及集团现有技术类标准的基础上，根据现有技术的发展水平，规定了数据安全日志管理要求。 2.2适用范围 本规程适用于指导公司各部门、各市（州、新区）分公司和各直属单位开展数据安全日志记录、审核等工作。 3．日志管理 3.1日志记录 各数据平台系统（包括前台应用、后台网络设备、主机、数据库等）应全面记录账号与授权管理、系统访问、业务操作、客户信息操作等行为，确保日志信息的完整、准确，相关的日志包括几方面： 1、系统操作原始日志：包括系统前台应用、后台网络设备、主机、数据库等的原始操作日志。记录的内容包括但不限于：操作账号、时间、登录IP地址、详细操作内容等。 2、数据接口日志：包括系统数据接口调用、接口配置变更、接口数据传输内容等的数据接口相关日志。记录的内容包括但不限于：数据表（文件）、对端IP地址及端口、接口鉴权账号、数据流向（输入输出）、数据内容（不含敏感信息）等。 3、数据平台系统应全面记录账号与授权管理、系统访问、业务操作、客户信息操作等关键行为，确保日志信息的完整、准确，对不符合要求的应由主管部门牵头落实系统的整改。 3.2日志留存 1、日志不应明文记录账号的口令、通信内容等系统敏感客户信息和客户信息，应采取技术措施对涉及敏感数据字段进行模糊化或脱敏处理。 2、各系统主管部门应加强系统原始日志访问管理，任何人不得对日志信息进行更改、删除。应对日志数据迁移相关的日志操作记录进行严格审核，并根据数据平台自身特点，制定日志规范，统一日志格式、范围和存取方式。 3、所有数据操作原始日志保留至少6个月；应保留所有敏感信息操作的凭据，确保真实有效，凭据至少保留1年，涉及客户敏感信息的操作日志应留存不少于3年。 4、系统主管部门需完成所辖系统审核策略的制定，明确审核对象、审核频度、审核方法。针对涉及客户信息等关键数据等日志，审核人员应至少每月开展一次审计，及时发现和处置异常情况，消除安全隐患。若发现重大安全隐患或违规行为，应向管理层汇报。定期（至少满足每周一次全备份，每日一次增量备份）对原始日志进行本地备份归档，也可以通过建立集中日志集中管理平台统一备份原始日志。 5、集团公司建立全网用户敏感信息访问日志集中管理平台，对各省公司涉及客户敏感信息的所有系统日志进行集中化管理。运维支撑部门应按照集团公司专业线条要求做好敏感数据操作日志上传工作，所有涉及客户敏感信息的操作要全量记录、及时上传，杜绝绕行监管以及擅自篡改、删除记录等违规行为。 6、各支撑网主管部门应建立敏感数据访问日志集中管理平台，对本网络内涉及敏感数据的所有系统日志进行集中化管理。涉敏操作的保存期限应不低于3年。 3.3日志保护 1、各数据平台系统的主机登录和操作日志记录用户登录、涉敏文件读取、配置文件删改、恶意程序部署等信息，其原始日志应予妥善保留，任何人不得违规删改，同时加强其访问控制，将日志访问纳入金库管理范围，严禁非授权访问。 2、各数据平台系统应按照公司要求做好敏感数据操作日志上传工作，所有涉及客户敏感客户信息的操作要全量记录、及时上传，杜绝绕行监管以及擅自篡改、删除记录等违规行为。 3、各数据平台系统应定期（每月至少一次）检查原始日志保存相关服务器的运行状态、运行程序，确保无违规日志访问脚本、程序运行。 4.日志审核 1、业务管理部门和运维支撑部门应根据“职责不相容”原则设置独立的安全员，安全员应与系统管理员、业务操作人员分开。 2、业务管理部门和运维支撑部门需完成所辖系统审核策略的制定。安全审核策略需明确审核对象、审核频度、审核方法。对于策略变更必须明确管理流程，详细记录变更起始、终止状态以及变更内容。 3、业务管理部门和运维支撑部门安全员应按照制定的审核策略，定期开展日志审核。 4.1账号权限审核 1、运维支撑部门应定期（每半年至少一次）对涉敏维护账号进行梳理，对维护账号变更和审批情况进行审核，对于第三方账号要进行单项说明，形成账号审核记录。 2、业务管理部门应对涉及敏感数据的业务账号进行定期审核（每半年至少一次），对业务账号变更和审批情况进行审核，对于第三方账号要进行单项说明，形成账号审核记录。 4.2数据接口日志审核 1、数据平台系统管理单位应定期（每半年至少一次）对数据接口进行审核，重点审核接口设备操作情况、接口数据传输情况、接口数据配置文件操作情况、接口日志完整性和可溯源性等，形成接口审核记录。 2、数据使用单位应定期（每半年至少一次）本单位数据使用人员的敏感数据