保护受控未分类信息 Rev 3

事件是系统中任何可观察到的现象，包括非法或未经授权的系统活动。组织会确定需要进行日志记录的事件类型。这包括与系统的安全性及其运行环境相关的事件，以满足特定的、持续的审计需求。事件类型可以包括密码更改、特权功能的执行、失败的登录或与系统相关的访问、管理员权限的使用，或第三方凭证使用。在确定需要记录的事件类型时，组织会考虑每项安全需求所适合的系统监控和审计措施。在定义事件类型时，组织会考虑记录与相关事件相关的必要日志，例如分布式的、基于事务的流程中的步骤（例如跨多个组织分布的流程）以及在面向服务或基于云的架构中发生的操作。监控和审计需求可以与其他系统需求进行平衡。例如，组织可能会确定系统必须具备记录每次文件访问（成功或失败）的能力，但仅在特定情况下启用该功能，以避免对系统性能造成潜在负担。组织记录的事件类型可能会随时间而变化。审查和更新已记录的事件类型是必要的，以确保当前的事件类型集保持相关性。