◇BP.08.07保護安全監視的記錄數據

如果監視活動的成果不可信任，那么監視活動就沒有價值，因此需要保證與安全監視有關的記錄數據得到適當的保護。監視活動包括封存和歸檔相關的日志、審計報告和相關分析結果。

包括審計在內的大多數監視活動都產生結果數據，這種結果數據可以直接發揮作用，或者記錄在案供以后分析和進一步采取行動。日志的內容應該設計成有助于理解在突發事件期間出現了什么，并探測出趨勢和可能發生的變化。輸出日志應該按與所用的策略和規則相一 致的原則進行管理。日志必須是可靠的和受到保護的，能抗篡改或偶然破壞。當日志存貯區被填滿時，它必須換一個新日志存貯區或者將它清空。當日志改變時，任何不需要的記錄都應被刪除并執行其它需要的刪簡動作。日志應該封存以阻止不可探測的任何修改，還應該在法律保護期間內歸檔。

工作產品示例：

( 1)列出全部歸檔的日志和相應的保存周期——標識出與安全監視有關的活動應該存貯，以及什么時候進行處理。

(2)應提交歸檔的日志的定期現場檢查結果——描述任何損失的報告并標識出恰當的響應。

(3)歸檔日志的使用——識別歸檔日志的使用者，包括訪問時間、目的及任何注解。(4)定期檢查隨機選擇的歸檔日志的有效性和可利用性結果——分析隨機選取的日志并確定它們是否完整、正確和有用，以保證對系統安全的充分監視。