Organisaation on varmistettava, että kaikki sen järjestelmien tuottamat ja pysyvään tallennukseen tallennetut lokimerkinnät sisältävät tarkat aikatiedot. Ihannetapauksessa tämän olisi oltava synkronoidun reaaliaikaisen kellon tarkka aikaleima. Jos synkronoitua aikalähdettä ei ole käytettävissä, tapahtumien aikajärjestyksen säilyttämiseksi olisi käytettävä vaihtoehtoista aikaviitettä, kuten monotonista laskuria tai muuta peräkkäistä tietoa.

Organisaatio ottaa käyttöön arkaluonteisten tietovarantojen kattavan tarkastuslokitiedonkeruun, kerää yksityiskohtaiset tapahtumatiedot, määrittää järjestelmät lokien monipuolisuutta varten, päivittää lokimääritykset säännöllisesti ja varmistaa tarkastuslokien turvallisen tallentamisen vankkaa turvallisuusvalvontaa ja -analyysia varten.

Organisaation on lokitettava käytettyjen laitteiden ja palveluiden hallinto- ja turvalokit.

Näihin lokitietoihin lokitetaan järjestelmänvalvojien ja etuoikeutettujen käyttäjien tekemät toimet. Niiden avulla voidaan valvoa järjestelmäkonfiguraatioiden, käyttäjien käyttöoikeuksien ja muiden kriittisten asetusten muutoksia. Säilyttämällä näitä lokitietoja organisaatio voi tarkastaa hallintatoimet ja varmistaa vastuullisuuden.

Tietoturvalokit tallentavat järjestelmien ja tietojen turvallisuuteen liittyviä tapahtumia. Näihin kuuluvat kirjautumisyritykset, palomuuritoiminnot, tunkeutumisen havaitsemisjärjestelmän hälytykset ja virustorjuntatoimet. Näiden lokien seuraaminen auttaa tunnistamaan epäilyttävät toiminnot, jotka voivat viitata tietoturvaloukkaukseen tai sisäiseen uhkaan.