Het ontdekken van ongeautoriseerde activiteiten.

Systemen dienen te worden gemonitored, om afwijkingen van het toegangsbeleid te detecteren en de gebeurtenissen te registreren, als bewijs bij beveiligingsincidenten.

Het vastleggen van gebeurtenissen die van belang zijn voor de beveiliging.

• Suwi-applicaties ondersteunen het aanmaken van "auditlogs", alsmede het bijhouden en bewaren ervan;
• Elke actie die gerelateerd is aan een Suwi-applicatie wordt gelogd op basis van het gebruikers-ID;
• Bij overschrijding van het toegestane aantal pogingen om toegang tot een systeem te krijgen, wordt de verantwoordelijke terstond geïnformeerd;

Bewaken of het gebruik van het systeem ook overeenkomt met de toegekende autorisaties.

• Er zijn procedures beschikbaar waarin het monitoren van het systeemgebruik wordt vastgelegd en welke functionaris op detailniveau het gebruik door medewerkers mag inzien;
• Het vereiste bewakingsniveau voor afzonderlijke voorzieningen dient vastgesteld te worden aan de hand van een risicoanalyse.
• Het resultaat van de bewakingsactiviteiten dient regelmatig geëvalueerd te worden;
• Elke poging om toegang te krijgen tot een informatiesysteem met cliëntgegevens wordt vastgelegd in een logbestand; het logbestand heeft een bewaartijd van zes maanden, zodat een analyse van bijzonderheden kan worden gemaakt (in geval van vermoedelijk misbruik) en hierover kan worden gerapporteerd (BXIV 9.7, CBP 4.7).

Een juiste registratie van events (qua tijdstip) onafhankelijk van de locatie zodat een correcte audit-trail kan worden opgesteld.

• Alle systemen hanteren één en dezelfde tijd, afgestemd met Suwinet.