Auto-sync: 2026-04-21 00:02

wiki/concepts/Evidence-Collection.md

@@ -0,0 +1,30 @@
+---
+title: "Evidence Collection"
+type: concept
+tags: [compliance, audit, automation]
+---
+
+## 定义
+系统化收集证明控制有效运作的证据的过程。
+
+## 核心原则
+- **自动化收集**：手动证据是脆弱的证据——自动化收集从第一天开始
+- **证据证明有效性**：证据必须证明控制在审计期间有效运作，而不仅是今天存在
+
+## 证据收集矩阵
+| 控制 ID | 控制描述 | 证据类型 | 来源 | 收集方法 | 频率 |
+|---------|----------|----------|------|----------|------|
+| CC6.1 | 逻辑访问控制 | 访问审查日志 | Okta | API 导出 | 季度 |
+| CC6.2 | 用户配置 | 入职工单 | Jira | JQL 查询 | 事件触发 |
+| CC7.1 | 系统监控 | 告警配置 | Datadog | 仪表板导出 | 月度 |
+
+## 证据组织
+按控制目标组织证据包，而非按内部团队结构。
+
+## 关键要求
+- 证据必须可重复获取
+- 证据必须有时间戳
+- 证据必须涵盖完整审计期
+
+## 相关实体
+- [[Compliance Auditor]]