Se registrarán las actividades de los usuarios en el sistema, de forma que:

a)      El registro indicará quién realiza la actividad, cuándo la realiza y sobre qué información.

b)      Se incluirá la actividad de los usuarios y, especialmente, la de los operadores y administradores en cuanto puedan acceder a la configuración y actuar en el mantenimiento del sistema.

c)      Deberán registrarse las actividades realizadas con éxito y los intentos fracasados.

d)      La determinación de qué actividades deben registrarse y con qué niveles de detalle se adoptará a la vista del análisis de riesgos realizado sobre el sistema ([op.pl.1]).

Nivel BAJO

Se activarán los registros de actividad en los servidores.

Nivel MEDIO

Se revisarán informalmente los registros de actividad buscando patrones anormales.

Nivel ALTO

Se dispondrá de un sistema automático de recolección de registros y correlación de eventos; es decir, una consola de seguridad centralizada.