Update nexus wiki content

wiki/concepts/EvidenceCollection.md

@@ -0,0 +1,51 @@
+---
+title: "Evidence Collection"
+type: concept
+tags: []
+sources: [compliance-auditor]
+last_updated: 2026-04-30
+---
+
+# Evidence Collection
+
+## Definition
+
+证据收集（Evidence Collection）是合规审计中从被审计系统提取、记录和整理证据材料的过程，用以证明控制措施在审计期间有效运行。证据必须证明控制**在整个审计期间持续有效**，而非仅在审计当天存在。
+
+## Core Principles
+
+### 自动化优先原则
+- **手动证据是脆弱的证据**——依赖人工截图、导出的流程无法保证一致性
+- 从第一天就建立自动化证据收集管道——手动流程无法扩展
+- 自动化证据的优势：可重复、一致、可追溯
+
+### 证据收集矩阵
+| 控制 ID | 控制描述 | 证据类型 | 来源 | 收集方法 | 频率 |
+|---------|---------|---------|------|---------|------|
+| CC6.1 | 逻辑访问控制 | 访问审查日志 | Okta | API 导出 | 季度 |
+| CC6.2 | 用户配置 | 入职工单 | Jira | JQL 查询 | 事件触发 |
+| CC6.3 | 用户取消配置 | 离职清单 | HR系统+Okta | 自动化 webhook | 事件触发 |
+| CC7.1 | 系统监控 | 告警配置 | Datadog | 仪表板导出 | 月度 |
+
+### 按控制目标组织
+- 证据包必须按**控制目标**组织，而非按内部团队结构组织
+- 审计师需要的是按控制逻辑组织的证据，而非按 IT/HR/法务部门组织的文件
+
+### 审计师视角
+- 思考"你会测试什么？"和"你会要求什么证据？"
+- 抽样原则：若控制适用于 500 台服务器，审计师会抽样——确保任何一台都能通过
+
+## Evidence Types
+- 日志文件（访问日志、操作日志、安全日志）
+- 配置快照（系统配置、安全策略）
+- 审批记录（变更审批、例外审批）
+- 报告导出（监控仪表板、合规报告）
+- 自动化脚本输出（API 导出、脚本执行结果）
+
+## Related Concepts
+- [[SOC 2]]：Type II 审计要求持续有效证据
+- [[Gap Assessment]]：修复差距后需要收集相应证据
+- [[Continuous Compliance]]：持续合规要求周期性证据收集
+
+## Related Sources
+- [[compliance-auditor]]