---
title: "Evidence Collection"
type: concept
tags: [compliance, audit, automation]
---

## 定义
系统化收集证明控制有效运作的证据的过程。

## 核心原则
- **自动化收集**：手动证据是脆弱的证据——自动化收集从第一天开始
- **证据证明有效性**：证据必须证明控制在审计期间有效运作，而不仅是今天存在

## 证据收集矩阵
| 控制 ID | 控制描述 | 证据类型 | 来源 | 收集方法 | 频率 |
|---------|----------|----------|------|----------|------|
| CC6.1 | 逻辑访问控制 | 访问审查日志 | Okta | API 导出 | 季度 |
| CC6.2 | 用户配置 | 入职工单 | Jira | JQL 查询 | 事件触发 |
| CC7.1 | 系统监控 | 告警配置 | Datadog | 仪表板导出 | 月度 |

## 证据组织
按控制目标组织证据包，而非按内部团队结构。

## 关键要求
- 证据必须可重复获取
- 证据必须有时间戳
- 证据必须涵盖完整审计期

## 相关实体
- [[Compliance Auditor]]