隨著我國互聯(lián)網(wǎng)技術(shù)的不斷普及和快速發(fā)展， 互聯(lián)網(wǎng)已徹底改變了人們的生活方式和思維方式，互聯(lián)網(wǎng)發(fā)展給人們帶來便利的同時，也產(chǎn)生了一定的新型網(wǎng)絡(luò)安全風(fēng)險。針對互聯(lián)網(wǎng)犯罪，我國采取了很多互聯(lián)網(wǎng)環(huán)境的治理措施。2023年1月17日，中央政法工作會議決定：2023年將以防控新型網(wǎng)絡(luò)安全風(fēng)險為牽引，提升網(wǎng)絡(luò)社會綜合治理能力，要把防控新型網(wǎng)絡(luò)安全風(fēng)險擺在突出位置來抓，不斷健全網(wǎng)絡(luò)社會綜合防控體系。

為了配合以后可能發(fā)生的司法取證工作，在信息系統(tǒng)設(shè)計開發(fā)階段要重視“安全審計”功能的實現(xiàn)。審核員要審核與認證范圍相關(guān)的信息系統(tǒng)的“安全審計”功能是否滿足該信息系統(tǒng)的業(yè)務(wù)風(fēng)險等級要求。

本文根據(jù)《ISO/IEC 27002：2013信息技術(shù) 安全技術(shù) 信息安全控制實踐指南》（以下簡稱《ISO/IEC 27002：2013》）的英文版，對《GB/T 22081-2016/ ISO/IEC 27002：2013信息技術(shù) 安全技術(shù) 信息安全控制實踐指南》標準（以下簡稱《GB/T 22081-2016》）部分條款的描述進行了優(yōu)化，方便讀者對標準的理解，優(yōu)化內(nèi)容體現(xiàn)在對條款的解析上。

下文對“安全審計”相關(guān)條款在《ISO/IEC 27002：2013》中的要求及解析進行具體闡述。

“12.4.1 事態(tài)日志”條款

該條款中“控制”的描述是：“宜產(chǎn)生、保持并定期評審記錄用戶活動、異常、錯誤和信息安全事態(tài)的事態(tài)日志”。其中，這里的“產(chǎn)生、保持”是軟件設(shè)計開發(fā)崗工作內(nèi)容，“保持并定期評審”是運行維護服務(wù)崗的工作內(nèi)容，分別介紹如下：

1. 軟件設(shè)計開發(fā)崗（對應(yīng)條款：全部條款）

條款解析：在進行安全審計的設(shè)計開發(fā)工作時，事態(tài)日志內(nèi)容宜包含相關(guān)的a）-n）內(nèi)容，如下：

a）用戶ID；

b）系統(tǒng)活動；

c）關(guān)鍵事態(tài)的日期，時間和詳細信息，例如登錄和退出（見“9.4.2 安全登錄規(guī)程”的f）、h））；

d）設(shè)備標識或位置（如果可能），以及系統(tǒng)標識符；

e）成功的和被拒絕的對系統(tǒng)訪問嘗試的記錄（見“9.4.2 安全登錄規(guī)程”的f））；

f）成功的和被拒絕的對數(shù)據(jù)以及其他資源訪問嘗試的記錄；

g）更改系統(tǒng)配置；

h）特權(quán)的使用；

i）系統(tǒng)實用程序和應(yīng)用程序的使用；

j）被訪問的文件和訪問類型；

k）網(wǎng)絡(luò)地址和協(xié)議；

l）由訪問控制系統(tǒng)發(fā)出的告警（見“9.4.2 安全登錄規(guī)程”的g））；

m）啟動和停用保護系統(tǒng)，例如防病毒系統(tǒng)和入侵檢測系統(tǒng)；

n）用戶在應(yīng)用程序中執(zhí)行的交易記錄。

當開發(fā)人員要對自動監(jiān)視系統(tǒng)進行設(shè)計開發(fā)時，要做好事態(tài)日志記錄的保密性、完整性、可用性、真實性、可核查性等工作，因為事態(tài)日志記錄是自動監(jiān)視系統(tǒng)的基礎(chǔ)。開發(fā)人員設(shè)計開發(fā)出來的自動監(jiān)視系統(tǒng)要能夠生成關(guān)于系統(tǒng)安全性的綜合報告和警報。

“其他信息”解析：在進行安全審計的設(shè)計開發(fā)工作時，因為事態(tài)日志可能包含敏感數(shù)據(jù)和個人可識別信息，所以要采取適當?shù)碾[私保護措施（見18.1.4）。

可能時，安全審計程序設(shè)計要具有“系統(tǒng)管理員不能刪除或停用其自身活動日志的權(quán)限”的功能（見12.4.3）。

2. 運行維護服務(wù)崗、項目實施崗（對應(yīng)條款：其他信息）

在進行運維服務(wù)、項目實施時，要做好以下工作：

（1）對事態(tài)日志進行保持、監(jiān)視、定期評審，并對發(fā)現(xiàn)的用戶異?；顒印㈠e誤和信息安全事態(tài)及時進行響應(yīng)。

（2）對接觸到的“敏感數(shù)據(jù)和個人可識別信息”進行保密和保護。

（3）不刪除或停用自身活動日志（見12.4.3）。

“12.4.2 日志信息的保護”條款

本條款對各崗位的要求如下：

1. 軟件設(shè)計開發(fā)崗（對應(yīng)條款：全部條款）

在對安全審計程序設(shè)計開發(fā)中，要防止日志信息的未授權(quán)更改和保證日志設(shè)施的正常運行。

a）、b）條款解析：在對安全審計程序設(shè)計開發(fā)中，要對“對記錄的消息類型的更改”“日志文件被編輯或被刪除”的活動具有審計功能。

c）條款解析：軟件設(shè)計開發(fā)人員要對日志文件的容量進行估算，在其編寫的《系統(tǒng)安裝手冊》中給予運維人員、項目實施人員以正確的環(huán)境部署容量指導(dǎo)，防止不能記錄事態(tài)或覆蓋過去記錄事態(tài)的事件發(fā)生。

軟件設(shè)計開發(fā)人員在對審計日志進行存檔保留時，要考慮合同、國家法律法規(guī)的要求，進行收集和保留證據(jù)（即“司法取證”工作），這是記錄保留策略的一部分內(nèi)容（見16.1.7）。

“其他信息”解析：系統(tǒng)日志通常包含大量信息，其中許多與信息安全監(jiān)視無關(guān)。為幫助識別出對信息安全監(jiān)視目的有重要意義的事態(tài)，在對安全審計程序設(shè)計中宜考慮將相應(yīng)的消息類型自動地拷貝到第二份日志，或編寫適當?shù)南到y(tǒng)實用程序或?qū)徲嫻ぞ邅韴?zhí)行文件查詢及規(guī)范化。

為了防止“系統(tǒng)日志中的數(shù)據(jù)被修改或刪除，可能導(dǎo)致一個錯誤的安全判斷”的事件發(fā)生，在對安全審計程序設(shè)計中可以將日志實時復(fù)制到系統(tǒng)管理員或操作員控制之外的系統(tǒng)來保護日志。

2.運行維護服務(wù)崗、項目實施崗（對應(yīng)條款：全部條款）

在進行運維服務(wù)、項目實施時，要防止日志信息的未授權(quán)更改，并保證日志設(shè)施的正常運行，要做好以下工作：

a）、b）條款解析：不對記錄的消息類型進行更改，不對日志文件進行編輯或刪除操作。

c）條款解析：對日志文件存儲介質(zhì)的容量進行監(jiān)視，發(fā)現(xiàn)存儲滿了，及時進行拷貝、刪除工作，保證不發(fā)生“不能記錄事態(tài)或覆蓋過去記錄事態(tài)”的事件。

考慮合同、國家法律法規(guī)的要求，對日志信息進行保護，便于收集和保留證據(jù)（見16.1.7）。

“其他信息”解析：系統(tǒng)日志通常包含大量信息，其中許多與信息安全監(jiān)視無關(guān)。為幫助識別出對信息安全監(jiān)視目的有重要意義的事態(tài)，運維人員宜考慮將相應(yīng)的消息類型自動拷貝到第二份日志，或使用適當?shù)南到y(tǒng)實用程序或?qū)徲嫻ぞ邅韴?zhí)行文件查詢及規(guī)范化。

如果其中的數(shù)據(jù)被修改或刪除，可能導(dǎo)致一個錯誤的安全判斷。為了保護系統(tǒng)日志的需要，項目實施人員在項目實施時，可以將日志實時復(fù)制到運維人員（系統(tǒng)管理員）或操作員控制之外的系統(tǒng)來保護日志。

“12.4.3 管理員和操作員日志”條款

本條款的控制：“系統(tǒng)管理員和系統(tǒng)操作員活動宜記入日志，并對日志進行保護和定期評審”，其中“記入日志并對日志進行保護”是軟件設(shè)計開發(fā)崗的工作內(nèi)容，“對日志進行保護和定期評審”是運行維護服務(wù)崗、項目實施崗的工作內(nèi)容，如下：

1. 軟件設(shè)計開發(fā)崗（對應(yīng)條款：全部條款）

在對安全審計程序設(shè)計中，要具有對“操作信息處理設(shè)施上的日志”活動的審計功能，以便于對特權(quán)用戶進行追責(zé)。

可以建議用戶使用不受系統(tǒng)和網(wǎng)絡(luò)管理員控制的入侵檢測系統(tǒng)，該入侵檢測系統(tǒng)可用于監(jiān)視系統(tǒng)和網(wǎng)絡(luò)管理活動的合規(guī)性。

2. 運行維護服務(wù)崗、項目實施崗（對應(yīng)條款：全部條款）

在進行運維服務(wù)、項目實施時，要做好以下工作：對其直接控制下操作信息處理設(shè)施上的系統(tǒng)管理員、系統(tǒng)操作員的操作日志進行必要保護，并評審日志，便于進行追責(zé)；可以建議用戶使用不受系統(tǒng)和網(wǎng)絡(luò)管理員控制的入侵檢測系統(tǒng)，該入侵檢測系統(tǒng)可用于監(jiān)視系統(tǒng)和網(wǎng)絡(luò)管理活動的合規(guī)性。

“12.4.4 時鐘同步”條款

本條款對各崗位的要求如下：

1. 軟件設(shè)計開發(fā)崗（對應(yīng)條款：全部條款）

在軟件設(shè)計開發(fā)時，要根據(jù)法律、法規(guī)、合同、符合的標準或內(nèi)部監(jiān)控的要求，考慮內(nèi)部和外部的時間顯示、同步和準確性的要求，考慮系統(tǒng)時間的取值工作，要使用標準基準時間。當需要從外部源獲得基準時間時，要科學(xué)考慮時間獲取的途徑以及如何同步內(nèi)部時鐘。

在軟件設(shè)計開發(fā)工作中，正確設(shè)置計算機時鐘對確保審計記錄的準確性是重要的，因為審計日志可用于調(diào)查或作為法律、紀律處理的證據(jù)。不準確的審計日志可能妨礙調(diào)查，并損害這種證據(jù)的可信性。可使用鏈接到源于國家原子鐘的無線電廣播時間，作為日志生成系統(tǒng)的主時鐘?？墒褂镁W(wǎng)絡(luò)時間協(xié)議來保持所有服務(wù)器與主時鐘完全同步。

視頻監(jiān)控系統(tǒng)就是用于法律證據(jù)的信息系統(tǒng)，該信息系統(tǒng)的軟硬件廠家對監(jiān)控設(shè)備的時鐘同步有相應(yīng)的模塊進行控制。這是滿足本條款要求的一個案例。

2. 運行維護服務(wù)崗、項目實施崗（對應(yīng)條款：全部條款）

項目實施崗在進行系統(tǒng)初次安裝時，要對系統(tǒng)時間進行正確設(shè)置。如果安裝實施的軟件系統(tǒng)還有其他的時間設(shè)置要求，要按照廠家的安裝說明進行好相應(yīng)的配置工作。如對視頻監(jiān)控系統(tǒng)的每個智能攝像頭的時鐘同步配置工作。

運行維護服務(wù)人員要按照本條款的要求，對被運維系統(tǒng)的時間進行監(jiān)視、維護。當發(fā)現(xiàn)部署在內(nèi)網(wǎng)的服務(wù)器的時間和國家標準時間不同時，要根據(jù)業(yè)務(wù)的實際情況，決定是否進行校準。如果需要校準，要做好校準的策劃工作，盡量在非工作時間進行校準，校準前做好數(shù)據(jù)備份工作，當內(nèi)網(wǎng)服務(wù)器時間在國家標準時間之前，直接修改內(nèi)網(wǎng)服務(wù)器的時間即可。但如果內(nèi)網(wǎng)服務(wù)器時間在國家標準時間之后，則需要等過了這二者的時間差這段時間后，再修改內(nèi)網(wǎng)服務(wù)器的時間，否則會引起數(shù)據(jù)庫數(shù)據(jù)的時間混亂。同時，要對時間校準工作過程形成相應(yīng)的記錄，以備后期的核查。

運維服務(wù)人員、項目實施人員正確設(shè)置計算機時鐘對確保審計記錄的準確性很重要，因為審計日志可用于調(diào)查或作為法律、紀律處理的證據(jù)。

對于視頻監(jiān)控系統(tǒng)的審核，ISMS體系審核員如果發(fā)現(xiàn)在同一時間、不同攝像頭監(jiān)控畫面上顯示的時間不一樣，審核員應(yīng)對該審核發(fā)現(xiàn)判該條款的不符合。

《ISO/IEC 27001：2013》的“A.14.1.2  公共網(wǎng)絡(luò)上應(yīng)用服務(wù)的安全保護”條款對在互聯(lián)網(wǎng)上開展服務(wù)進行了要求，“A.14.1.3 應(yīng)用服務(wù)事務(wù)的保護”條款對在互聯(lián)網(wǎng)上進行應(yīng)用服務(wù)交易活動進行了要求。這2個條款的服務(wù)活動是在互聯(lián)網(wǎng)上開展，業(yè)務(wù)風(fēng)險大，服務(wù)所用的信息系統(tǒng)的身份鑒別、安全審計這2項安全技術(shù)要格外注意加強。

《GB/T 18336.2-2008 /ISO/IEC 15408-2：2005信息技術(shù) 安全技術(shù) 信息技術(shù)安全評估準則 第2部分：安全功能要求》對軟件開發(fā)的安全技術(shù)要求進行了詳細的描述，包括對“身份鑒別”“安全審計”“通信”“密碼支持”“用戶數(shù)據(jù)保護”“標識和鑒別”“安全管理”“隱私”等安全功能要求。該標準的“7   FAU 類：安全審計”“附錄C （規(guī)范性附錄） FAU 類：安全審計”對“安全審計”設(shè)計開發(fā)進行了詳細的描述，該標準的每個組件都有對審計的要求。因此，該標準也是將信息系統(tǒng)安全功能設(shè)計工作徹底掌握的必選標準。

在國家加強對網(wǎng)絡(luò)社會綜合治理工作的大環(huán)境下，審核員在開展審核工作時，要重視與認證范圍有關(guān)的信息系統(tǒng)的安全功能滿足其業(yè)務(wù)風(fēng)險情況的審核取證工作，尤其要重視“安全審計”的審核取證工作，為以后可能發(fā)生的司法取證工作做好準備，為凈化互聯(lián)網(wǎng)生態(tài)環(huán)境貢獻自己的力量。

中企檢測認證網(wǎng)提供iso體系認證機構(gòu)查詢，檢驗檢測、認證認可、資質(zhì)資格、計量校準、知識產(chǎn)權(quán)貫標一站式行業(yè)企業(yè)服務(wù)平臺。中企檢測認證網(wǎng)為檢測行業(yè)相關(guān)檢驗、檢測、認證、計量、校準機構(gòu)，儀器設(shè)備、耗材、配件、試劑、標準品供應(yīng)商，法規(guī)咨詢、標準服務(wù)、實驗室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認證網(wǎng)在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產(chǎn)權(quán)、版權(quán)法律法規(guī)知識資訊，包括商標注冊、食品檢測、第三方檢測機構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測、環(huán)境檢測、管理體系認證、服務(wù)體系認證、產(chǎn)品認證、版權(quán)登記、專利申請、知識產(chǎn)權(quán)、檢測法、認證標準等信息，中企檢測認證網(wǎng)為檢測認證商標專利從業(yè)者提供多種檢測、認證、知識產(chǎn)權(quán)、版權(quán)、商標、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導(dǎo)等知識。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認證認可監(jiān)督管理委員會、質(zhì)量認證中心

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問題，請跟我們聯(lián)系刪除并致歉！

本文來源： http://www.1cjaei.cn/zs/202012/ccaa_15626.html