52 lines
2.1 KiB
Markdown
52 lines
2.1 KiB
Markdown
---
|
||
title: "Evidence Collection"
|
||
type: concept
|
||
tags: []
|
||
sources: [compliance-auditor]
|
||
last_updated: 2026-04-30
|
||
---
|
||
|
||
# Evidence Collection
|
||
|
||
## Definition
|
||
|
||
证据收集(Evidence Collection)是合规审计中从被审计系统提取、记录和整理证据材料的过程,用以证明控制措施在审计期间有效运行。证据必须证明控制**在整个审计期间持续有效**,而非仅在审计当天存在。
|
||
|
||
## Core Principles
|
||
|
||
### 自动化优先原则
|
||
- **手动证据是脆弱的证据**——依赖人工截图、导出的流程无法保证一致性
|
||
- 从第一天就建立自动化证据收集管道——手动流程无法扩展
|
||
- 自动化证据的优势:可重复、一致、可追溯
|
||
|
||
### 证据收集矩阵
|
||
| 控制 ID | 控制描述 | 证据类型 | 来源 | 收集方法 | 频率 |
|
||
|---------|---------|---------|------|---------|------|
|
||
| CC6.1 | 逻辑访问控制 | 访问审查日志 | Okta | API 导出 | 季度 |
|
||
| CC6.2 | 用户配置 | 入职工单 | Jira | JQL 查询 | 事件触发 |
|
||
| CC6.3 | 用户取消配置 | 离职清单 | HR系统+Okta | 自动化 webhook | 事件触发 |
|
||
| CC7.1 | 系统监控 | 告警配置 | Datadog | 仪表板导出 | 月度 |
|
||
|
||
### 按控制目标组织
|
||
- 证据包必须按**控制目标**组织,而非按内部团队结构组织
|
||
- 审计师需要的是按控制逻辑组织的证据,而非按 IT/HR/法务部门组织的文件
|
||
|
||
### 审计师视角
|
||
- 思考"你会测试什么?"和"你会要求什么证据?"
|
||
- 抽样原则:若控制适用于 500 台服务器,审计师会抽样——确保任何一台都能通过
|
||
|
||
## Evidence Types
|
||
- 日志文件(访问日志、操作日志、安全日志)
|
||
- 配置快照(系统配置、安全策略)
|
||
- 审批记录(变更审批、例外审批)
|
||
- 报告导出(监控仪表板、合规报告)
|
||
- 自动化脚本输出(API 导出、脚本执行结果)
|
||
|
||
## Related Concepts
|
||
- [[SOC 2]]:Type II 审计要求持续有效证据
|
||
- [[Gap Assessment]]:修复差距后需要收集相应证据
|
||
- [[Continuous Compliance]]:持续合规要求周期性证据收集
|
||
|
||
## Related Sources
|
||
- [[compliance-auditor]]
|