---
title: "Evidence Collection"
type: concept
tags: []
sources: [compliance-auditor]
last_updated: 2026-04-30
---

# Evidence Collection

## Definition

证据收集（Evidence Collection）是合规审计中从被审计系统提取、记录和整理证据材料的过程，用以证明控制措施在审计期间有效运行。证据必须证明控制**在整个审计期间持续有效**，而非仅在审计当天存在。

## Core Principles

### 自动化优先原则
- **手动证据是脆弱的证据**——依赖人工截图、导出的流程无法保证一致性
- 从第一天就建立自动化证据收集管道——手动流程无法扩展
- 自动化证据的优势：可重复、一致、可追溯

### 证据收集矩阵
| 控制 ID | 控制描述 | 证据类型 | 来源 | 收集方法 | 频率 |
|---------|---------|---------|------|---------|------|
| CC6.1 | 逻辑访问控制 | 访问审查日志 | Okta | API 导出 | 季度 |
| CC6.2 | 用户配置 | 入职工单 | Jira | JQL 查询 | 事件触发 |
| CC6.3 | 用户取消配置 | 离职清单 | HR系统+Okta | 自动化 webhook | 事件触发 |
| CC7.1 | 系统监控 | 告警配置 | Datadog | 仪表板导出 | 月度 |

### 按控制目标组织
- 证据包必须按**控制目标**组织，而非按内部团队结构组织
- 审计师需要的是按控制逻辑组织的证据，而非按 IT/HR/法务部门组织的文件

### 审计师视角
- 思考"你会测试什么？"和"你会要求什么证据？"
- 抽样原则：若控制适用于 500 台服务器，审计师会抽样——确保任何一台都能通过

## Evidence Types
- 日志文件（访问日志、操作日志、安全日志）
- 配置快照（系统配置、安全策略）
- 审批记录（变更审批、例外审批）
- 报告导出（监控仪表板、合规报告）
- 自动化脚本输出（API 导出、脚本执行结果）

## Related Concepts
- [[SOC 2]]：Type II 审计要求持续有效证据
- [[Gap Assessment]]：修复差距后需要收集相应证据
- [[Continuous Compliance]]：持续合规要求周期性证据收集

## Related Sources
- [[compliance-auditor]]