可信数据空间中安全审计的日志留存要求是什么？

可信数据空间中，安全审计日志的留存要求需以合规性、可追溯性、安全性为核心，围绕“全要素覆盖、防篡改存储、跨主体协同”构建体系。

首先，法规适配是底线：需严格遵循《网络安全法》《数据安全法》《个人信息保护法》等要求，通用场景日志留存时长不低于6个月，关键业务（如敏感数据交易、跨域数据共享）需延长至1-3年；金融、医疗等行业还需符合细分规范（如《商业银行信息科技风险管理指引》要求核心系统日志留存3年以上）。

其次，内容完整是基础：日志需包含“操作主体（身份ID、终端IP/设备标识）、操作行为（访问/修改/分享/删除等类型）、操作对象（数据资源ID/路径）、时间戳（精确到秒）、操作结果（成功/失败/异常）”全要素，确保能完整还原操作场景。

第三，存储安全是关键：日志需用WORM（一次写多次读）、加密存储或区块链存证等技术防止篡改，同时落实“权限最小化”访问控制（仅授权审计/监管人员查询），避免日志泄露。

第四，跨域协同是补充：因可信数据空间涉及多主体（提供方、使用方、监管方），日志需采用Syslog、JSON等标准化格式，支持跨主体关联溯源，满足多方联合审计需求。

最后，生命周期管理是闭环：超期日志需通过加密删除、物理销毁等合规方式处置，避免数据残留；定期验证日志留存有效性（如检查漏录、篡改情况），确保全流程符合安全要求。

整体来看，日志留存需既满足监管要求，又能支撑可信数据空间的“行为可追溯、责任可以定”核心目标。

摘自《可信数据空间合规100问》