title, type, tags, sources, last_updated
| title |
type |
tags |
sources |
last_updated |
| Evidence Collection |
concept |
|
|
2026-04-30 |
Evidence Collection
Definition
证据收集(Evidence Collection)是合规审计中从被审计系统提取、记录和整理证据材料的过程,用以证明控制措施在审计期间有效运行。证据必须证明控制在整个审计期间持续有效,而非仅在审计当天存在。
Core Principles
自动化优先原则
- 手动证据是脆弱的证据——依赖人工截图、导出的流程无法保证一致性
- 从第一天就建立自动化证据收集管道——手动流程无法扩展
- 自动化证据的优势:可重复、一致、可追溯
证据收集矩阵
| 控制 ID |
控制描述 |
证据类型 |
来源 |
收集方法 |
频率 |
| CC6.1 |
逻辑访问控制 |
访问审查日志 |
Okta |
API 导出 |
季度 |
| CC6.2 |
用户配置 |
入职工单 |
Jira |
JQL 查询 |
事件触发 |
| CC6.3 |
用户取消配置 |
离职清单 |
HR系统+Okta |
自动化 webhook |
事件触发 |
| CC7.1 |
系统监控 |
告警配置 |
Datadog |
仪表板导出 |
月度 |
按控制目标组织
- 证据包必须按控制目标组织,而非按内部团队结构组织
- 审计师需要的是按控制逻辑组织的证据,而非按 IT/HR/法务部门组织的文件
审计师视角
- 思考"你会测试什么?"和"你会要求什么证据?"
- 抽样原则:若控制适用于 500 台服务器,审计师会抽样——确保任何一台都能通过
Evidence Types
- 日志文件(访问日志、操作日志、安全日志)
- 配置快照(系统配置、安全策略)
- 审批记录(变更审批、例外审批)
- 报告导出(监控仪表板、合规报告)
- 自动化脚本输出(API 导出、脚本执行结果)
Related Concepts
Related Sources
