操作系统日志是否属于计算机化系统审计追踪数据

vlambda
2022-03-18

操作系统日志是否属于计算机化系统审计追踪数据

之前的文章聊了一下操作系统和数据库软件的权限设置，详见，结论是需要对操作系统和数据库软件进行权限管理。但是由此也引申出了一个问题，那就是操作系统产生的系统日志是否属于计算机化系统审计追踪数据？小编继续通过查询法规来讨论问题。

PIC/S在2007年9月发布的《Good Practices for Computerised Systems in Regulated ”GXP” Environments》文件第20.3章节要求，与审计跟踪事件相关的记录应该被记录下来，理想的情况是作为操作系统、数据库管理系统(DBMS)、文档管理系统(DMS)和其他主要应用程序的功能特性。文件中只是说审计追踪需要被操作系统记录，但是并没有明确说系统日志到底是否属于审计追踪，因此并不好下结论。

2015年NMPA发布的《计算机化系统》附录让小编看到了答案，附录第二十四条中审计追踪定义的原文如下：“数据审计跟踪：是一系列有关计算机操作系统、应用程序及用户操作等事件的记录，用以帮助从原始数据追踪到有关的记录、报告或事件，或从记录、报告、事件追溯到原始数据。”根据定义可以看出，审计追踪明确包含了计算机操作系统的事件。

小编本来想看一下NMPA《计算机化系统》附录中审计追踪的定义是否与欧盟GMP附录的定义一致，结果出乎意料，2011生效的欧盟GMP附录《计算机化系统》中并没有审计追踪明确的定义。看来国内法规的要求比欧盟的更加严格。

在欧盟GMP文件中没有收获，小编又把目光转向了FDA。2018年12月FDA发布的数据可靠性问答第一问中，对审计追踪的内容进行了详细的解释。其中有一段话与本文章需要探讨的问题非常相关：审计追踪包括那些与数据的创建、修改或删除（例如处理参数和结果）相关的跟踪记录，以及那些在记录或系统级别上操作的跟踪记录（例如尝试访问系统或重命名或删除文件）。操作系统涉及到数据文件的存储和访问，因此小编认为此类的系统日志应该被当作计算机化系统的审计追踪数据。

综合以上国内外的法规，小编认为操作系统和数据库软件的系统日志中，有一部分数据属于计算机化系统审计追踪数据，是GMP数据。读者们可能会说小编在抠字眼，接下来小编谈一下自己的理解。

首先，时间是非常关键的GMP数据。绝大多数计算机化系统应用软件中电子记录的时间都源自于本地计算机或者服务器中操作系统的时间，需要通过操作系统的权限来控制系统时间不被随意修改。同时，无论是手动同步时间，还是使用NTP服务器同步时间，操作系统日志都会有记录，此条系统日志肯定属于审计追踪数据。

其次，操作系统可能需要安装补丁甚至更新，安装补丁或者更新系统是风险很高的GMP活动，操作系统也会有系统日志进行记录，因此此类日志也属于审计追踪数据。

同时，很多单机版或者网络版的软件，应用系统的安全策略与操作系统绑定，即需要使用操作系统的账号和密码登录应用系统。此种情况下，操作系统中与权限管理相关的系统日志的重要性与应用软件中权限管理的审计追踪数据是同等的。

另外，操作系统和数据库软件中会存储GMP数据，数据的访问和编辑都设置了相应的权限。此类GMP数据的编辑和处理也会生成系统日志，这些系统日志也是很关键的。

基于上述的理由，小编认为操作系统和数据库软件中的部分系统日志属于计算机化系统的审计追踪数据，是GMP数据。因此，需要开启操作系统和数据库软件的日志记录功能，并防止被随意关闭，如何进行相关的设置不在本文的讨论范围内，小编后期若有时间将会专门写一篇文章进行介绍。另外，也需要注意定期备份和存档系统日志，根据小编的经验，系统日志的数据量是相当大的。至于何种系统日志属于审计追踪数据，需要基于风险和已有的系统知识来进行评估。同时也需要评估审计追踪数据审核的频率，更多内容详见。

更多计算机化系统文章如下：