银行信息系统日志管理办法.doc

1、 xx银行信息系统日志管理办法 xx总发〔xx〕133号，xx年7月8日印发 第一章 总 则 第一条 为规范xx银行计算机信息系统日志管理及备份和恢复、信息安全检查工作，提高日志管理质量，明确内部管理责任，保障计算机及网络系统正常运行，依据《商业银行信息科技风险管理指引》等金融行业有关法律、法规及信息安全标准，结合xx银行的实际情况，制定本规定。 第二条 本规定制定了xx银行内部相关管理人员的职责和权限、管理对象和审计时限、日志管理工作的内容和工作流程、日志数据备份和恢复工作的内容和工作流程、审计输出文档等内容，作为xx银行开展日志管理工作的标准和规范。 第三条 日志

2、管理及备份和恢复工作须配备专职管理人员和专用管理设备（日志管理审计分析系统），严格按照本规定实施细则执行日常管理。 第四条 本规定适用于xx银行科技部门的日志管理安全审计工作。 第二章 管理范围及人员 第五条 日志管理对象应包括xx银行核心服务区的系统主机、网络设备/安全设备、数据库及应用系统。日志内容主要包含： （一）服务器主机：包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件。 （二）网络设备/安全设备：针对运行状况、网络流量、用户行为等进行日志记录；包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。 （三）数

3、据库系统：对数据库用户的操作行为进行记录并审计数据库运行状况及重要系统命令的使用等安全相关事件。 （四）应用系统：对应用系统重要安全事件进行记录；审计记录的内容至少应包括事件日期、时间、发起者信息、类型、描述和结果等。 第六条 日志内容根据重要性分为重要、一般两级。核心系统、网络设备、应用系统以及一些数据库为重要级别，外围系统为一般级别。全局管理员对设备进行分类分级后，在《xx银行日志系统设备分类分级表》中进行登记。 第七条 日志管理人员应根据岗位职责，通过日志管理系统细分日志管理权限。严格控制不同类型日志的查看员。日志管理员具体分工如下： （一）全局管理员：负责用户权限分配、授权

4、负责日志数据的备份、删除和恢复，以及恢复演练。 （二）服务器主机管理员：负责查看服务器主机的日志和报表。 （三）网络设备/安全设备管理员：负责查看网络设备、安全设备的日志和报表。 （四）数据库管理员：负责查看数据库的日志和报表。 （五）应用系统：负责查看重要应用系统的日志和报表。 （六）日志备份数据保管员：保管备份的日志数据。 （七）审计管理员：负责对各类日志的审计。 第八条 所有日志管理人员须按照实施细则的要求，做好日志管理工作。 第三章 实施细则 第九条 LogBase日志管理综合审计系统，是xx银行实行日志管理的工作平台，日志管理人员必须能够熟练操作该日志管

5、理系统，满足日志管理工作的基本技能要求。 第十条 日志管理系统的账号与口令由全局管理员配置，其安全性须符合《xx银行用户账号与口令管理规范》，凭授权登陆。账户密码应定期更改，符合《xx银行用户账号与口令管理规范》。 第十一条 全局管理员根据岗位职责赋予服务器主机管理员、网络设备/安全设备管理员、应用管理员、数据库管理员最小授权范围查看的权限。 第十二条 服务器主机管理员、网络设备/安全设备管理员、应用管理员、数据库管理员每月应对日志管理系统自动过滤出来的高危告警日志进行人工检查审核，逐条分析排查。如发现异常情况可根据事件等级，启动应急处理机制，并立即报告科室负责人并在《xx银行日志

6、审核表》上如实记录。 第十三条 全局管理员应定期检查日志管理系统的运行状况、进程，查看CPU、内存、硬盘的使用情况并作巡查记录。如发现异常情况，须立即向科室负责人汇报。 第十四条 全局管理员定期检查日志采集代理程序的运行状况，查看代理程序与日志管理系统连接状况、日志传输状况、代理程序消耗宿主资源状况等并作巡查记录。如发现异常情况，须立即向科室负责人汇报。 第十五条 全局管理员每月对日志服务器硬件进行查看维护，重点检查机箱风扇、温度、硬盘指示灯、网卡指示灯、硬件探测器状况等并作巡查记录。如发现异常情况，须立即向科室负责人汇报并联系厂商技术工程师。 第十六条 全局管理员启动日志管理

7、系统的自动报表（月报、季报）功能，并和系统主机管理员、网络/安全设备管理员、数据库管理员和应用系统管理员一起制订自定义有针对性的日志分析报表模板，每月（每季度）定期查看审计报表并作存档。如在报表中发现可疑情况，须作进一步核查并向科室负责人汇报。 第十七条 全局管理员须在每季度定期巡查日志管理系统登录日志、操作日志及查看相关报表，监督日志管理员的日常工作。 第十八条 全局管理员每季度督促、配合原厂商售后服务工程师，完成日志管理系统的安全巡检和软件补丁、系统升级服务。 第十九条 当发生信息系统安全事故时，全局管理员须协助相关人员，能够快速有效地查询相关日志数据，定位安全问题。 第二十

8、条 全局管理员查看日志管理系统服务器状态、进程等，须符合《xx银行数据安全管理规范》。 第二十一条 全局管理员每季度（3个月）执行一次日志管理系统的数据备份或自动异地归档任务。将在线日志数据存储到专用的日志存储设备。确保重要信息系统及数据库日志保存期限至少3年；网络设备和操作系统日志保存期限至少3年。 第二十二条 全局管理员需要进行日志数据备份和恢复工作时，应填写《xx银行日志授权访问申请表》以及《xx银行主机房变更申请单》，取得授权之后，由全局管理员从日志审计主机导出原始日志进行备份，并交于日志备份数据保管员保管，并在《xx银行日志备份和恢复操作记录表》上登记。 第二十三条 日

9、志恢复演练应一年举行一次，填写《xx银行主机房变更申请单》，并在《xx银行日志恢复演练记录表》上登记。 第二十四条 外单位人员或外部门人员需要查看日志，应填写《xx银行日志授权访问申请表》，取得授权后，由相应日志管理员陪同查看，并在《xx银行日志授权访问记录表》上登记。 第二十五条 备份的日志由专门的日志备份数据保管员妥善保管，并做好日志移交记录，日志保存需符合相关保密性要求。 第二十六条 日志管理设备或日志管理员账号需要增加、删除或更改时，应填写《xx银行主机房变更申请单》、《xx银行日志授权访问申请表》，取得授权后，进行相应操作。 第二十七条 审计管理员须在每季度定期对日志

10、管理系统登录日志、操作日志以及相关报表进行审计，对备份日志的操作、存档进行审计，对违规或发现问题应上报部门负责人。 第二十八条 审计管理员应对日志管理系统的流程进行审计，对存在的风险上报部门负责人，进行风险评估和控制。 第四章 附 则 第二十九条 本规定未作规定的事项，适用银监会发布的规章制度及指导性文件。 第三十条 本规定由科技部负责解释、修订。 第三十一条 本规定自发文之日起施行。 附件：1.xx银行日志授权访问申请表（略） 2.xx银行日志授权访问记录表（略） 3.xx银行日志备份和恢复操作记录表（略） 4.xx银行日志恢复演练记录表（略） 5.xx银行日志系统设备分类分级表（略） 6.xx银行日志审核表（略） — 3 —