数据库审计系统在相应法令法规对应的要求_修正版

2023年8月1日发(作者：)

修正版

数据库审计系统在相应法令法规对应的要求：

1 等级保护

标准/规GB/T 20273-2006 信息安全技术 数据库管理系统安全技术要求

范：

总体要求 4数据库管理系统安全功能基本要求

4.6 安全审计

数据库管理系统的安全审计应：

a) 建立独立的安全审计系统；

b) 定义与数据库安全相关的审计事件；

c) 设置专门的安全审计员；

d) 设置专门用于存储数据库系统审计数据的安全审计库；

e) 提供适用于数据库系统的安全审计设置、分析和查阅的工具。

等级

要求：

等级

要求：

第一级：用户自主保护级

无

第二级：系统审计保护级

5.2.1.3 安全审计

加粗为针宜根据4.6的描述，按GB/T20273—2006中6.2.2.3的要求，设计对上一级安全审计功能。本安全保护等级要求：

增加的内a) 安全审计功能的设计应与用户标识与鉴别、自主访问控制等安容 全功能的设计紧密结合；

b) 提供审计日志，潜在侵害分析，基本审计查阅和有限审计查阅，安全审计事件选择，以及受保护的审计踪迹存储等功能；

c) 能够生成、维护及保护审计过程，使其免遭修改、非法访问及破坏，特别要保护审计数据，要严格限制未经授权的用户访问；

d) 能够创建并维护一个对受保护客体访问的审计跟踪，保护审计记录不被未授权的访问、修改和破坏。

等级

要求：

第三级：安全标记保护级

5.3.1.6 安全审计

加粗为针一般应根据4.6的描述，按GB/T20273—2006中6.3.2.4的要求，修正版

对上一级从以下方面设计和实现数据库管理系统的安全计审计功能：

增加的内a) 安全审计功能的设计应与用户标识与鉴别、自主访问控制、标容 记与强制访问控制等安全功能的设计紧密结合；

b) 提供审计日志、实时报警生成，潜在侵害分析、基于异常检测，基本审计查阅、有限审计查阅和可选审计查阅，安全审计事件选择，以及受保护的审计踪迹存储和审计数据的可用性确保等功能；

c) 能够生成、维护及保护审计过程，使其免遭修改、非法访问及破坏，特别要保护审计数据，要严格限制未经授权的用户访问；

d) 能够创建并维护一个对受保护客体访问的审计跟踪，保护审计记录不被未授权的访问、修改和破坏；

e) 对网络环境下运行的数据库管理系统，应建立统一管理和控制的审计机制。

等级

要求：

第四级：安全标记保护级

5.4.1.6 安全审计

加粗为针 一般应根据4.6的要求，按GB/T20273—2006中6.4.2.4的要求，从对上一级以下方面设计和实现数据库管理系统的安全审计功能：

增加的内a) 安全审计功能的设计应与用户标识与鉴别、自主访问控制、标容 记与强制访问控制等安全功能的设计紧密结合；

b) 提供审计日志、实时报警生成和违例进程终止，潜在侵害分析、基于异常检测和简单攻击探测，基本审计查阅、有限审计查阅和可选审计查阅，安全审计事件选择，以及受保护的审计踪迹存

储、审计数据的可用性确保和防止审计数据丢失的措施等功能；

c) 能够生成、维护及保护审计过程，使其免遭修改、非法访问及破坏，特别要保护审计数据，要严格限制未经授权的用户访问；

d) 能够创建并维护一个对受保护客体访问的审计跟踪，保护审计记录不被未授权的访问、修改和破坏；

e) 对网络环境下运行的数据库管理系统，应建立统一管理和控制的审计机制。

等级 第五级：访问验证保护级 修正版

要求： 5.5.1.6 安全审计

加粗为针应按照4.6的描述，按GB/T20273—2006中6.5.2.4的要求，从以下对上一级方面设计和实现数据库管理系统的安全审计功能：

增加的内a) 安全审计功能的设计应与用户标识与鉴别、自主访问控制、标容 记与强制访问控制等安全功能的设计紧密结合；

b) 提供审计日志、实时报警生成、违例进程终止、服务取消和用户帐号断开与失效，潜在侵害分析、基于异常检测和复杂攻击探测，基本审计查阅、有限审计查阅和可选审计查阅，安全审计事件选择，以及受保护的审计踪迹存储、审计数据的可用性确保和防止审计数据丢失的措施等功能；

c) 能够生成、维护及保护审计过程，使其免遭修改、非法访问及破坏，特别要保护审计数据，要严格限制未经授权的用户访问；

d) 能够创建并维护一个对受保护客体访问的审计跟踪，保护审计记录不被未授权的访问、修改和破坏；

e) 对网络环境下运行的数据库管理系统，应建立统一管理和控制的审计机制。

2 ISO27001

标准/规GB/T 22080-2008 信息安全管理体系要求/ISO/IEC 27001：2005

范：

总体要求： A.10.10 监督

控制目标：检测未授权的信息处理活动；

A. 10.10.1 审核日志

控制措施

审核日志记录了用户的活动、意外和信息安全事件日志，并按照约定的期限进行保留，以支持未来的调查和访问控制监控；

A. 10.10.2 监控系统的使用

控制措施

应建立监控信息处理设施使用的程序，并定期审核监控的结果；

A. 10.10.3 日志信息保护 修正版

控制措施

防止篡改和未授权访问日志设施和日志信息；

A. 10.10.4 管理员和操作员日志

控制措施

应记录系统管理员和系统操作员的活动；

A. 10.10.5 错误日志

控制措施

故障应被记录、分析和采取适当的措施；

3 企业内部控制基本规范

标准/规《企业内部控制》

范： 分为基本规范、具体规范、应用指引、评价指引、审计指引等内容，

总体要求： 在企业内部控制----基本规范找到相应的内容

第二十六条 健全内部审计机构、加强内部审计监督是营造守法、公平、正直的内部环境的重要保证。企业应当加强内部审计工作，在企业内部形成有权必有责、用权受监督的良好氛围。

在企业内部控制应用指引第18号——信息系统中找到相应的内容第六条 企业开发信息系统，应当将生产经营管理业务流程、关键控制点和处理规则嵌入系统程序，实现手工环境下难以实现的控制功能。

企业在系统开发过程中，应当按照不同业务的控制要求，通过信息系统中的权限管理功能控制用户的操作权限，避免将不相容职责的处理权限授予同一用户。

企业应当针对不同数据的输入方式，考虑对进入系统数据的检查和校验功能。对于必需的后台操作，应当加强管理，建立规范的流程制度，对操作情况进行监控或者审计。

企业应当在信息系统中设置操作日志功能，确保操作的可审计性。对异常的或者违背内部控制要求的交易和数据，应当设计由系统自动报告并设置跟踪处理机制。 修正版

在企业内部控制具体规范第17号——计算机信息系统中找到相应的内容

第二十一条 企业应当建立账号审批制度，加强对重要业务系统的访问权限管理。

对于发生岗位变化或离岗的用户，企业应当及时调整其在系统中的访问权限。

企业应当定期对系统中的账号进行审阅，避免有授权不当或冗余账号存在。

对于特权用户，企业应该对其在系统中的操作进行监控，并定期审阅监控日志。

第二十二条 企业应当充分利用操作系统、数据库、应用系统自身提供的安全性能，在系统中设置安全参数，以加强系统访问安全。禁止未经授权人员擅自调整、删除或修改系统中设置的各项参数。

4 支付卡行业数据安全标准PCI-DSS

标准/规支付卡行业数据安全标准PCI-DSS

范： 修正版

要求：

5 《网上银行系统信息安全通用规范》

标准/规中国人民银行【2010】19号《网上银行系统信息安全通用规范》

范：

要求： 6.1.4.4数据安全

A基本要求------c)安全审计： 修正版

 审计范围应覆盖到服务器和管理终端上的每个操作系统用户和数据库用户。

 审计内容应包括重要用户行为、系统资源的异常使用和重要信息系统命令的使用等系统内重要的安全相关事件。

 审计记录包括时间、类型、访问者标识、访问对象标识和事件结果。





应根据记录数据进行安全分析，并生成审计报表。

应保护审计记录，避免遭受未授权的删除、修改或覆盖。

6 《商业银行信息科技风险管理指引》

标准/规银监会《商业银行信息科技风险管理指引》

范：

要求： 第二十六条 商业银行应通过以下措施，确保所有信息系统的安全：

（五）采取安全的方式处理保密信息的输入和输出，防止信息泄露或被盗取、篡改。

（七）以书面或电子格式保存审计痕迹。

（八）要求用户管理员监控和审查未成功的登录和用户账户的修改。

第二十七条 商业银行应制定相关策略和流程，管理所有生产系统的活动日志，以支持有效的审核、安全取证分析和预防欺诈。日志可以在软件的不同层次、不同的计算机和网络设备上完成，日志划分为两大类：

（一） 交易日志。交易日志由应用软件和数据库管理系统产生，内容包括用户登录尝试、数据修改、错误信息等。交易日志应按照国家会计准则要求予以保存。

（二） 系统日志。系统日志由操作系统、数据库管理系统、防火墙、入侵检测系统和路由器等生成，内容包括管理登录尝试、系统事件、网络事件、错误信息等。系统日志保存期限按系统的风险等修正版

级确定，但不能少于一年。

商业银行应保证交易日志和系统日志中包含足够的内容，以便完成有效的内部控制、解决系统故障和满足审计需要；应采取适当措施保证所有日志同步计时，并确保其完整性。在例外情况发生后应及时复查系统日志。交易日志或系统日志的复查频率和保存周期应由信息科技部门和有关业务部门共同决定，并报信息科技管理委员会批准。

7 《银联卡账户与交易数据安全管理规则 》

标准/规范：

要求：

中国银联《银联卡账户与交易数据安全管理规则 》

第五章 数据的保护、使用与销毁

5.2 数据的使用

5.2.2日志记录

建立账户信息及交易数据访问与使用的日志记录机制与审核机制。日志记录的内容包括：用户身份、使用类型、日期和时间、访问成功标记、访问的数据或系统设备名称等等。风险主管人员应定期审核日志内容。

8 《银联卡收单机构账户信息安全管理标准》

标准/规中国银联《银联卡收单机构账户信息安全管理标准》

范：

要求： 第五章 访问控制

5.2.6日志管理

各收单机构应建立完善的日志记录及审核机制，日志的内容应包括用户ID、操作日期及时间、操作内容、操作是否成功等。

作；

5.2.6.1.5对系统日志的访问；

5.2.6.1.6其他涉及账户信息安全的系统记录。

5.2.6.2所有重要系统时钟时间应保持同步，以真实记录系统修正版

访问及操作情况。

5.2.6.3采取有效措施，防止系统日志被非法篡改：

5.2.6.3.1严格控制对系统日志的访问，只有工作需要的人员才能查看系统日志；

5.2.6.3.2及时将系统日志备份到专用日志服务器或安全介质内；

5.2.6.3.3及时将无线网络日志复制到内部专用日志服务器；

5.2.6.3.4采取监控软件保证日志的一致性与完整性。

5.2.6.4每天应对系统日志进行审核，系统日志记录至少保存一年。

9 《期货公司信息技术管理指引》

标准/规期货公司信息技术管理指引

范：

等级

要求：

一类要求

安全审计

[必须][新增] 核心系统的主要业务操作应产生审计记录。

[必须][新增] 应采取有效措施防止删除、修改或覆盖审计记录。

等级

要求：

二类要求

安全审计

[必须][延续] 核心系统的主要业务操作应产生审计记录。

[必须][延续] 应采取有效措施防止删除、修改或覆盖审计记录。

等级

要求：

三类要求

安全审计

[必须][延续] 核心系统的主要业务操作应产生审计记录。

[必须][延续] 应采取有效措施防止删除、修改或覆盖审计记录。

[可选][新增] 所有的主要运维操作应采取恰当的认证措施，并产生审计记录。 修正版

等级

要求：

四类要求

安全审计

[必须][延续] 核心系统的主要业务操作应产生审计记录。

[必须][延续] 应采取有效措施防止删除、修改或覆盖审计记录。

[必须][延续] 所有的主要运维操作应采取恰当的认证措施，并产生审计记录。

10 《期货公司网上期货信息系统技术指引》

标准/规期货公司网上期货信息系统技术指引

范：

要求： 第十四条 网上期货服务端应能产生、记录并集中存储必要的日志信息，如客户的身份信息、交易信息和IP地址等。

第十六条 期货公司应具备对网上期货信息系统进行实时监控和防范非授权访问的功能或设施，建立有效的外部攻击侦测机制和防范策略，并能妥善保存网上期货信息系统的关键软件（如网络操作系统、数据库管理系统、网络监控系统）的日志文件和审计记录。

11 《证券公司网上证券信息系统技术指引 》

标准/规证监会《证券公司网上证券信息系统技术指引》

范：

要求： 在“第五章 网上证券服务端”中提到：

第四十七条 网上交易服务端应能产生、记录并集中存储必要的日志信息，其中应包含能识别服务请求方身份的内容、登录终端的IP地址、MAC地址、手机号码和终端特征码等，并确保数据的可审计性，满足监管部门现场检查要求及司法机构调查取证的要求。

12 萨班斯－奥克斯利法案（SOX）

标准/规萨班斯-奥克斯利法案 修正版

范：

要求： 《萨班斯-奥克斯利法案（2002 Sarbanes-Oxley Act）》的第302条款和第404条款中，强调通过内部控制加强公司治理，包括加强与财务报表相关的IT系统内部控制，其中，IT系统内部控制就是面向具体的业务，它是紧密围绕信息安全审计这一核心的。

2023年8月1日发(作者：)

修正版

数据库审计系统在相应法令法规对应的要求：

1 等级保护

标准/规GB/T 20273-2006 信息安全技术 数据库管理系统安全技术要求

范：

总体要求 4数据库管理系统安全功能基本要求

4.6 安全审计

数据库管理系统的安全审计应：

a) 建立独立的安全审计系统；

b) 定义与数据库安全相关的审计事件；

c) 设置专门的安全审计员；

d) 设置专门用于存储数据库系统审计数据的安全审计库；

e) 提供适用于数据库系统的安全审计设置、分析和查阅的工具。

等级

要求：

等级

要求：

第一级：用户自主保护级

无

第二级：系统审计保护级

5.2.1.3 安全审计

加粗为针宜根据4.6的描述，按GB/T20273—2006中6.2.2.3的要求，设计对上一级安全审计功能。本安全保护等级要求：

增加的内a) 安全审计功能的设计应与用户标识与鉴别、自主访问控制等安容 全功能的设计紧密结合；

b) 提供审计日志，潜在侵害分析，基本审计查阅和有限审计查阅，安全审计事件选择，以及受保护的审计踪迹存储等功能；

c) 能够生成、维护及保护审计过程，使其免遭修改、非法访问及破坏，特别要保护审计数据，要严格限制未经授权的用户访问；

d) 能够创建并维护一个对受保护客体访问的审计跟踪，保护审计记录不被未授权的访问、修改和破坏。

等级

要求：

第三级：安全标记保护级

5.3.1.6 安全审计

加粗为针一般应根据4.6的描述，按GB/T20273—2006中6.3.2.4的要求，修正版

对上一级从以下方面设计和实现数据库管理系统的安全计审计功能：

增加的内a) 安全审计功能的设计应与用户标识与鉴别、自主访问控制、标容 记与强制访问控制等安全功能的设计紧密结合；

b) 提供审计日志、实时报警生成，潜在侵害分析、基于异常检测，基本审计查阅、有限审计查阅和可选审计查阅，安全审计事件选择，以及受保护的审计踪迹存储和审计数据的可用性确保等功能；

c) 能够生成、维护及保护审计过程，使其免遭修改、非法访问及破坏，特别要保护审计数据，要严格限制未经授权的用户访问；

d) 能够创建并维护一个对受保护客体访问的审计跟踪，保护审计记录不被未授权的访问、修改和破坏；

e) 对网络环境下运行的数据库管理系统，应建立统一管理和控制的审计机制。

等级

要求：

第四级：安全标记保护级

5.4.1.6 安全审计

加粗为针 一般应根据4.6的要求，按GB/T20273—2006中6.4.2.4的要求，从对上一级以下方面设计和实现数据库管理系统的安全审计功能：

增加的内a) 安全审计功能的设计应与用户标识与鉴别、自主访问控制、标容 记与强制访问控制等安全功能的设计紧密结合；

b) 提供审计日志、实时报警生成和违例进程终止，潜在侵害分析、基于异常检测和简单攻击探测，基本审计查阅、有限审计查阅和可选审计查阅，安全审计事件选择，以及受保护的审计踪迹存

储、审计数据的可用性确保和防止审计数据丢失的措施等功能；

c) 能够生成、维护及保护审计过程，使其免遭修改、非法访问及破坏，特别要保护审计数据，要严格限制未经授权的用户访问；

d) 能够创建并维护一个对受保护客体访问的审计跟踪，保护审计记录不被未授权的访问、修改和破坏；

e) 对网络环境下运行的数据库管理系统，应建立统一管理和控制的审计机制。

等级 第五级：访问验证保护级 修正版

要求： 5.5.1.6 安全审计

加粗为针应按照4.6的描述，按GB/T20273—2006中6.5.2.4的要求，从以下对上一级方面设计和实现数据库管理系统的安全审计功能：

增加的内a) 安全审计功能的设计应与用户标识与鉴别、自主访问控制、标容 记与强制访问控制等安全功能的设计紧密结合；

b) 提供审计日志、实时报警生成、违例进程终止、服务取消和用户帐号断开与失效，潜在侵害分析、基于异常检测和复杂攻击探测，基本审计查阅、有限审计查阅和可选审计查阅，安全审计事件选择，以及受保护的审计踪迹存储、审计数据的可用性确保和防止审计数据丢失的措施等功能；

c) 能够生成、维护及保护审计过程，使其免遭修改、非法访问及破坏，特别要保护审计数据，要严格限制未经授权的用户访问；

d) 能够创建并维护一个对受保护客体访问的审计跟踪，保护审计记录不被未授权的访问、修改和破坏；

e) 对网络环境下运行的数据库管理系统，应建立统一管理和控制的审计机制。

2 ISO27001

标准/规GB/T 22080-2008 信息安全管理体系要求/ISO/IEC 27001：2005

范：

总体要求： A.10.10 监督

控制目标：检测未授权的信息处理活动；

A. 10.10.1 审核日志

控制措施

审核日志记录了用户的活动、意外和信息安全事件日志，并按照约定的期限进行保留，以支持未来的调查和访问控制监控；

A. 10.10.2 监控系统的使用

控制措施

应建立监控信息处理设施使用的程序，并定期审核监控的结果；

A. 10.10.3 日志信息保护 修正版

控制措施

防止篡改和未授权访问日志设施和日志信息；

A. 10.10.4 管理员和操作员日志

控制措施

应记录系统管理员和系统操作员的活动；

A. 10.10.5 错误日志

控制措施

故障应被记录、分析和采取适当的措施；

3 企业内部控制基本规范

标准/规《企业内部控制》

范： 分为基本规范、具体规范、应用指引、评价指引、审计指引等内容，

总体要求： 在企业内部控制----基本规范找到相应的内容

第二十六条 健全内部审计机构、加强内部审计监督是营造守法、公平、正直的内部环境的重要保证。企业应当加强内部审计工作，在企业内部形成有权必有责、用权受监督的良好氛围。

在企业内部控制应用指引第18号——信息系统中找到相应的内容第六条 企业开发信息系统，应当将生产经营管理业务流程、关键控制点和处理规则嵌入系统程序，实现手工环境下难以实现的控制功能。

企业在系统开发过程中，应当按照不同业务的控制要求，通过信息系统中的权限管理功能控制用户的操作权限，避免将不相容职责的处理权限授予同一用户。

企业应当针对不同数据的输入方式，考虑对进入系统数据的检查和校验功能。对于必需的后台操作，应当加强管理，建立规范的流程制度，对操作情况进行监控或者审计。

企业应当在信息系统中设置操作日志功能，确保操作的可审计性。对异常的或者违背内部控制要求的交易和数据，应当设计由系统自动报告并设置跟踪处理机制。 修正版

在企业内部控制具体规范第17号——计算机信息系统中找到相应的内容

第二十一条 企业应当建立账号审批制度，加强对重要业务系统的访问权限管理。

对于发生岗位变化或离岗的用户，企业应当及时调整其在系统中的访问权限。

企业应当定期对系统中的账号进行审阅，避免有授权不当或冗余账号存在。

对于特权用户，企业应该对其在系统中的操作进行监控，并定期审阅监控日志。

第二十二条 企业应当充分利用操作系统、数据库、应用系统自身提供的安全性能，在系统中设置安全参数，以加强系统访问安全。禁止未经授权人员擅自调整、删除或修改系统中设置的各项参数。

4 支付卡行业数据安全标准PCI-DSS

标准/规支付卡行业数据安全标准PCI-DSS

范： 修正版

要求：

5 《网上银行系统信息安全通用规范》

标准/规中国人民银行【2010】19号《网上银行系统信息安全通用规范》

范：

要求： 6.1.4.4数据安全

A基本要求------c)安全审计： 修正版

 审计范围应覆盖到服务器和管理终端上的每个操作系统用户和数据库用户。

 审计内容应包括重要用户行为、系统资源的异常使用和重要信息系统命令的使用等系统内重要的安全相关事件。

 审计记录包括时间、类型、访问者标识、访问对象标识和事件结果。





应根据记录数据进行安全分析，并生成审计报表。

应保护审计记录，避免遭受未授权的删除、修改或覆盖。

6 《商业银行信息科技风险管理指引》

标准/规银监会《商业银行信息科技风险管理指引》

范：

要求： 第二十六条 商业银行应通过以下措施，确保所有信息系统的安全：

（五）采取安全的方式处理保密信息的输入和输出，防止信息泄露或被盗取、篡改。

（七）以书面或电子格式保存审计痕迹。

（八）要求用户管理员监控和审查未成功的登录和用户账户的修改。

第二十七条 商业银行应制定相关策略和流程，管理所有生产系统的活动日志，以支持有效的审核、安全取证分析和预防欺诈。日志可以在软件的不同层次、不同的计算机和网络设备上完成，日志划分为两大类：

（一） 交易日志。交易日志由应用软件和数据库管理系统产生，内容包括用户登录尝试、数据修改、错误信息等。交易日志应按照国家会计准则要求予以保存。

（二） 系统日志。系统日志由操作系统、数据库管理系统、防火墙、入侵检测系统和路由器等生成，内容包括管理登录尝试、系统事件、网络事件、错误信息等。系统日志保存期限按系统的风险等修正版

级确定，但不能少于一年。

商业银行应保证交易日志和系统日志中包含足够的内容，以便完成有效的内部控制、解决系统故障和满足审计需要；应采取适当措施保证所有日志同步计时，并确保其完整性。在例外情况发生后应及时复查系统日志。交易日志或系统日志的复查频率和保存周期应由信息科技部门和有关业务部门共同决定，并报信息科技管理委员会批准。

7 《银联卡账户与交易数据安全管理规则 》

标准/规范：

要求：

中国银联《银联卡账户与交易数据安全管理规则 》

第五章 数据的保护、使用与销毁

5.2 数据的使用

5.2.2日志记录

建立账户信息及交易数据访问与使用的日志记录机制与审核机制。日志记录的内容包括：用户身份、使用类型、日期和时间、访问成功标记、访问的数据或系统设备名称等等。风险主管人员应定期审核日志内容。

8 《银联卡收单机构账户信息安全管理标准》

标准/规中国银联《银联卡收单机构账户信息安全管理标准》

范：

要求： 第五章 访问控制

5.2.6日志管理

各收单机构应建立完善的日志记录及审核机制，日志的内容应包括用户ID、操作日期及时间、操作内容、操作是否成功等。

作；

5.2.6.1.5对系统日志的访问；

5.2.6.1.6其他涉及账户信息安全的系统记录。

5.2.6.2所有重要系统时钟时间应保持同步，以真实记录系统修正版

访问及操作情况。

5.2.6.3采取有效措施，防止系统日志被非法篡改：

5.2.6.3.1严格控制对系统日志的访问，只有工作需要的人员才能查看系统日志；

5.2.6.3.2及时将系统日志备份到专用日志服务器或安全介质内；

5.2.6.3.3及时将无线网络日志复制到内部专用日志服务器；

5.2.6.3.4采取监控软件保证日志的一致性与完整性。

5.2.6.4每天应对系统日志进行审核，系统日志记录至少保存一年。

9 《期货公司信息技术管理指引》

标准/规期货公司信息技术管理指引

范：

等级

要求：

一类要求

安全审计

[必须][新增] 核心系统的主要业务操作应产生审计记录。

[必须][新增] 应采取有效措施防止删除、修改或覆盖审计记录。

等级

要求：

二类要求

安全审计

[必须][延续] 核心系统的主要业务操作应产生审计记录。

[必须][延续] 应采取有效措施防止删除、修改或覆盖审计记录。

等级

要求：

三类要求

安全审计

[必须][延续] 核心系统的主要业务操作应产生审计记录。

[必须][延续] 应采取有效措施防止删除、修改或覆盖审计记录。

[可选][新增] 所有的主要运维操作应采取恰当的认证措施，并产生审计记录。 修正版

等级

要求：

四类要求

安全审计

[必须][延续] 核心系统的主要业务操作应产生审计记录。

[必须][延续] 应采取有效措施防止删除、修改或覆盖审计记录。

[必须][延续] 所有的主要运维操作应采取恰当的认证措施，并产生审计记录。

10 《期货公司网上期货信息系统技术指引》

标准/规期货公司网上期货信息系统技术指引

范：

要求： 第十四条 网上期货服务端应能产生、记录并集中存储必要的日志信息，如客户的身份信息、交易信息和IP地址等。

第十六条 期货公司应具备对网上期货信息系统进行实时监控和防范非授权访问的功能或设施，建立有效的外部攻击侦测机制和防范策略，并能妥善保存网上期货信息系统的关键软件（如网络操作系统、数据库管理系统、网络监控系统）的日志文件和审计记录。

11 《证券公司网上证券信息系统技术指引 》

标准/规证监会《证券公司网上证券信息系统技术指引》

范：

要求： 在“第五章 网上证券服务端”中提到：

第四十七条 网上交易服务端应能产生、记录并集中存储必要的日志信息，其中应包含能识别服务请求方身份的内容、登录终端的IP地址、MAC地址、手机号码和终端特征码等，并确保数据的可审计性，满足监管部门现场检查要求及司法机构调查取证的要求。

12 萨班斯－奥克斯利法案（SOX）

标准/规萨班斯-奥克斯利法案 修正版

范：

要求： 《萨班斯-奥克斯利法案（2002 Sarbanes-Oxley Act）》的第302条款和第404条款中，强调通过内部控制加强公司治理，包括加强与财务报表相关的IT系统内部控制，其中，IT系统内部控制就是面向具体的业务，它是紧密围绕信息安全审计这一核心的。