日志管理与审核操作规程.docx

XXX公司日志管理与审核操作规程1 .引言为促进XXX公司数据安全管理健康有序开展，进一步加强对数据安全日志的管理工作，切实保障公司数据资产安全，保障用户合法权益，特制定本日志管理与审核操作规程，作为本公司数据安全相关系统平台开展日志管理的依据。2 .总则2.1 目的及依据本规程在国标以及集团现有技术类标准的基础上，根据现有技术的发展水平，规定了数据安全日志管理要求。2 .2适用范围本规程适用于指导公司各部门、各市（州、新区）分公司和各直属单位开展数据安全日志记录、审核等工作。3 .日志管理3.1 日志记录各数据平台系统（包括前台应用、后台网络设备、主机、数据库等）应全面记录账号与授权管理、系统访问、业务操作、客户信息操作等行为，确保日志信息的完整、准确，相关的日志包括几方面：1、系统操作原始日志：包括系统前台应用、后台网络设备、主机、数据库等的原始操作日志。记录的内容包括但不限于：操作账号、时间、登录IP地址、详细操作内容等。2、数据接口日志：包括系统数据接口调用、接口配置变更、接口数据传输内容等的数据接口相关日志。记录的内容包括但不限于：数据表（文件）、对端IP地址及端口、接口鉴权账号、数据流向（输入输出）、数据内容（不含敏感信息）等。3、数据平台系统应全面记录账号与授权管理、系统访问、业务操作、客户信息操作等关键行为，确保日志信息的完整、准确，对不符合要求的应由主管部门牵头落实系统的整改。3.2 日志留存1、日志不应明文记录账号的口令、通信内容等系统敏感客户信息和客户信息，应采取技术措施对涉及敏感数据字段进行模糊化或脱敏处理。2、各系统主管部门应加强系统原始日志访问管理，任何人不得对日志信息进行更改、删除。应对日志数据迁移相关的日志操作记录进行严格审核，并根据数据平台自身特点，制定日志规范，统一日志格式、范围和存取方式。3、所有数据操作原始日志保留至少6个月；应保留所有敏感信息操作的凭据，确保真实有效，凭据至少保留1年，涉及客户敏感信息的操作日志应留存不少于3年。4、系统主管部门需完成所辖系统审核策略的制定，明确审核对象、审核频度、审核方法。针对涉及客户信息等关键数据等日志，审核人员应至少每月开展一次审计，及时发现和处置异常情况，消除安全隐患。若发现重大安全隐患或违规行为，应向管理层汇报。定期（至少满足每周一次全备份，每日一次增量备份）对原始日志进行本地备份归档，也可以通过建立集中日志集中管理平台统一备份原始日志。5、集团公司建立全网用户敏感信息访问日志集中管理平台，对各省公司涉及客户敏感信息的所有系统日志进行集中化管理。运维支撑部门应按照集团公司专业线条要求做好敏感数据操作日志上传工作，所有涉及客户敏感信息的操作要全量记录、及时上传，杜绝绕行监管以及擅自篡改、删除记录等违规行为。6、各支撑网主管部门应建立敏感数据访问日志集中管理平台，对本网络内涉及敏感数据的所有系统日志进行集中化管理。涉敏操作的保存期限应不低于3年。3 .3日志保护1、各数据平台系统的主机登录和操作日志记录用户登录、涉敏文件读取、配置文件删改、恶意程序部署等信息，其原始日志应予妥善保留，任何人不得违规删改，同时加强其访问控制，将日志访问纳入金库管理范围，严禁非授权访问。2、各数据平台系统应按照公司要求做好敏感数据操作日志上传工作，所有涉及客户敏感客户信息的操作要全量记录、及时上传，杜绝绕行监管以及擅自篡改、删除记录等违规行为。3、各数据平台系统应定期（每月至少一次）检查原始日志保存相关服务器的运行状态、运行程序，确保无违规日志访问脚本、程序运行。4 .日志审核1、业务管理部门和运维支撑部门应根据“职责不相容”原则设置独立的安全员，安全员应与系统管理员、业务操作人员分开。2、业务管理部门和运维支撑部门需完成所辖系统审核策略的制定。安全审核策略需明确审核对象、审核频度、审核方法。对于策略变更必须明确管理流程，详细记录变更起始、终止状态以及变更内容。3、业务管理部门和运维支撑部门安全员应按照制定的审核策略，定期开展日志审核。4.1 账号权限审核1、运维支撑部门应定期（每半年至少一次）对涉敏维护账号进行梳理，对维护账号变更和审批情况进行审核，对于第三方账号要进行单项说明，形成账号审核记录。2、业务管理部门应对涉及敏感数据的业务账号进行定期审核（每半年至少一次），对业务账号变更和审批情况进行审核，对于第三方账号要进行单项说明，形成账号审核记录。4.2数据接口日志审核1、数据平台系统管理单位应定期（每半年至少一次）对数据接口进行审核，重点审核接口设备操作情况、接口数据传输情况、接口数据配置文件操作情况、接口日志完整性和可溯源性等，形成接口审核记录。2、数据使用单位应定期（每半年至少一次）本单位数据使用人员的敏感数据和客户信息操作日志进行审核，重点审核数据操作是否合规，涉敏数据的操作审核终端上是否留存涉及客户信息的文件，移动介质输出客户信息和文件的情况等。4.3操作日志审核1、业务管理部门和运维支撑部门应定期（每月至少一次）组织对所辖数据平台系统开展操作日志审核，重点审核非授权访问、高频操作、IP地址频繁切换、批量查询、批量下载、操作系统原始日志留存和原始日志篡改及删除等数据安全风险，及时发现未经客户授权查询客户信息、异常时间登录、异常IP登录、异常的账号增加和权限变更、异常的客户信息增删改查。形成审核记录，并向数据安全归口管理部门进行报备。2、在日志审核频度与抽样比例上，极敏感和敏感信息访问要求至少每周进行全量审核，较敏感信息访问至少按周审核，日志抽样比率不低于5%,低敏感信息访问至少按月审核，日志抽样比率不低于2%。3、对于日志审核发现的问题应及时查明原因进行整改，并保存完整的整改报告。对于发现的擅自篡改、删除记录的人员应依据相关规定进行问责。4. 4离职离岗人员数据操作审核业务管理部门和运维支撑部门应加强人员离职或离岗审核:1、对于涉敏人员，应在其离职或离岗后10个工作日内，对其最近1个月的全量涉敏操作进行审核。2、对于第三方代维人员，应在离职或离岗前5个工作日内，对其最近3个月的全量运维操作进行审核。4 .5第三方人员操作行为审核1、每月对于第三方人员数据运维操作应全量审核。2、第三方人员通过VPN远程临时进行数据运维操作的，应在数据操作完成后5天内对其VPN登录期间的运维操作行为进行全量审核。3、第三方人员通过VPN远程进行日常数据运维操作的，应每月对其运维操作行为进行全量审核。4、各单位应定期（每半年至少一次）对现场服务的第三方终端进行涉敏感数据审核。5 .问责和处罚对发现的数据安全日志管理违规问题，由省公司XXX部门同相关部门进行责任认定，并依据XXX公司考核评价办法、XXX公司网络考核问责实施细则等管理规定进行考核处罚。对存在日志管理重大风险的责任单位，由省公司XXX部门向公司网络安全领导小组汇报，并就进行全省通报，情节严重或影响重大的,启动问责程序。