第 三 章 事件日誌與可歸責性
|
| 第 7 條 | (記錄事件)
一、組織應訂定資通系統電腦稽核紀錄(日誌)之記錄時間週期及保存政
策,並至少保存三年。
二、資通系統應確有記錄特定事件之功能,並決定應記錄之特定資通系統
事件。
三、資通系統應記錄管理者帳號所執行之各項功能,且應於核心系統最高
權限帳號、特殊功能(如程式或軟體異動、參數或組態變更權限等)
權限帳號被使用時,每日覆核使用結果。
四、組織應定期審查核心系統產生之電腦稽核紀錄(日誌),非核心系統
宜定期審查。 |
|
| 第 8 條 | (電腦稽核紀錄(日誌)記錄內容與容量)
一、資通系統產生之電腦稽核紀錄(日誌)應包含事件類型、發生時間、
發生位置及任何與事件相關之使用者身分識別等資訊,宜採用單一日
誌機制,確保輸出格式之一致性,並應依組織所訂之資通安全政策及
相關法令要求及組織業務需求納入其他相關資訊。
二、資通系統應依據電腦稽核紀錄(日誌)儲存需求,配置所需之儲存容
量。 |
|
| 第 9 條 | (電腦稽核紀錄(日誌)處理失效之回應)
一、組織於資通系統電腦稽核紀錄(日誌)處理失效時,應採取適當之行
動。
二、第一類組織之核心系統規定需要即時通報之電腦稽核紀錄(日誌)處
理失效事件發生時,核心系統宜於組織規定之時效內,對特定人員提
出警告。 |
|
| 第 10 條 | (時戳及校時)
一、資通系統應使用系統內部時鐘產生電腦稽核紀錄(日誌)所需時戳,
並可以對應到世界協調時間(UTC) 或格林威治標準時間(GMT) 。
二、資通系統內部時鐘應定期與基準時間源進行同步。 |
|
| 第 11 條 | (電腦稽核紀錄(日誌)資訊之保護)
一、對電腦稽核紀錄(日誌)之存取管理,僅限於有權限之使用者。
二、核心系統應運用雜湊或其他適當方式之完整性確保機制,非核心系統
宜有完整性確保機制。
三、第一類組織之核心系統應定期備份電腦稽核紀錄(日誌)至原系統外
之其他實體系統。 |
|