保管证据和文件

1）目标与结果

• 具有法律意义的人工制品不可变性（不可磨灭的事实）。
• 可追踪性：谁,何时,为什么创建/修改/阅读。
• "按按钮"（可复制"audit pack"）可审核性。
• 遵守隐私和免责声明（TTL，法律保留，删除/匿名）。
• 权利和责任统一轮廓（RACI）和质量指标。

2）文物分类（我们认为是证据）

技术：访问日志和管理操作，扫描仪结论（SAST/DAST/SCA），秘密扫描报告，SOAR日志，IaC/云漂移，配置备份，KMS/HSM跟踪。
操作：ITSM tiket/事件/更改, mortem后协议,DR/BCP测试行为,访问审核报告（re-cert）。
法律和监管：政策/标准/带有版本日志的SOP，DPA/SLA/addendums，监管机构通知，查询响应，SARA/重建。
隐私和数据：处理注册表，DSAR案例，删除/匿名确认，退回时间表，法律保留日志。
供应商/第三方：尽职调查结果，证书（SOC/ISO/PCI），五旬节报告，SLA合规性。
财务和控制：AML/STR报告，限制和例外，SoD确认。

3）原则（设计条款）

默认可变性：WORM/Object Lock,在保留期间禁止覆盖。
诚信与权威：哈希链，默克利根，数字签名和时间戳。
Minimal&Purpose-bound：仅限数据、别名/掩码。
基于案例的访问：通过案例和角色访问，并具有端到端阅读/导出日志。
Policy-as-Code： Rules Reposition/Legal Hold/工件类-在规则存储库中。
Auditability：可播放的报告和带有哈希收据的"audit pack"。

4）角色和RACI

(R — Responsible;A — Accountable;C — Consulted;I — Informed)

5）存储体系结构（参考）

1.接收区域（ingest）：可靠的总线、mTLS、转发、重复数据消除、元数据正常化（JSON）。
2.热存储：快速搜索/报告（30-90天）。
3.冷存储：对象/存档（1-7年），经济类。
4.WORM/Bobject锁环路：不变的证据存档,每个垃圾箱/对象都有策略。
5.完整性：哈希巴奇，默克利树，定期锚定；检查日志。
6.工件目录/MDM：类型、模式、所有者、TTL、关键搜索字段的注册表。
7.访问：RBAC/ABAC+基于案例的访问；带有哈希收据的出口；灵敏套件的双管控制。
8.复制和DR：地理分配，RTO/RPO目标，定期恢复检查。

6） Policy as code （YAML示例）

yaml id: EVD-RET-001 title: "Retention and Legal Hold (evidence)"
classes:
- name: "security_logs"
hot_days: 30 cold_days: 365 worm_years: 3
- name: "contracts_dpa"
hot_days: 0 cold_days: 2555  # ~7 лет worm_years: 7 legal_hold:
enabled: true override_ttl: true privacy:
mask_fields: ["email","phone","ip","account_id"]
export_policy: "case_based"
verification:
integrity_check: "daily"
anchor_cadence: "hourly"

7）存储链（Custody of Custody）

标识：物件的唯一ID、来源、模式版本。
固定：哈希SHA-256/512，包装签名，时间戳。
运输：清单日志（谁/何时下载/验证）。
访问：所有读数/出口的核算；链接到桉例/tiket。
报告：哈希收据，验证协议，交换结果。

8）复仇，法律保留和删除

按文物类别和司法管辖区划分的存储时间表。
在发生事件/监管机构请求时保持合法性-"冻结"删除。
通过TTL卸载-仅在自动检查没有活动的Hold之后。
删除报告-列出对象+汇总哈希摘要。
供应商离岸是镜像的回避，是毁灭的确认。

9）私有化和最小化

Scope-miniment：存储上下文而不是"完全付费"。
敏感字段的别名/掩码；分开的re-id密钥。
访问"通过案例"：对于DSAR/事件-期刊的临时权利。
跨境性：明确的储存/处理国家标签；副本控制。

10）"Audit pack"（结构）

1.组织描述和RACI。
2.政策/标准/SOP（最新版本+changelog）。
3.系统和控制映射+映射到规范/认证。
4.KPI/KRI指标和周期报告。
5.样本工件：logi，configi，scans，DR/BCP，访问修订版。
6.Vendor档案：DPA/SLA，证书，五旬节报告。
7.SARAH/重建：状态，关闭的证据。
8.包裹的哈希收据和访问日志。

11）度量标准和SLO

Integrity Pass： 100%成功的哈希链检查。
Anchor Freshness p95：在锚点和验证之间≤ 2小时。
Coverage：在evidence目录中≥ 98%的关键系统。
Access Review SLA： 100%的每月存档权利认证。
Legal Hold Lag：从活动到Hold安装≤ 15分钟。
Export SLA（"audit pack"）：≤ 8小时发出完整的设置。
PII泄漏率：档案中的0个关键泄漏。

12）Dashbords（最低设置）

Integrity＆WORM：锚定状态，对象锁，验证错误。
封面和目录：涵盖人工制品类别，"孔"，孤儿对象。
Access&Exports：谁在阅读/卸载什么、异常、SoD冲突。
Retention&Hold： TTL计时器,Active Legal Hold,删除时间表。
Vendor Mirror：承包商的镜像恢复状态。
审核就绪性："按键"准备就绪和SLA之前的时间。

13） SOP（标准程序）

SOP-1： 下载证据

1.源注册→ 2）标准化/方案→ 3）哈希和签名→

2.写入WORM区域→ 5）验证和锚定→ 6）目录更新。

SOP-2： 准备"审计包"

打开案例→收集样本中的工件列表→形成软件包→生成哈希收据→法律审查→通过官方渠道签发→将访问和副本写入WORM。

SOP-3: Legal Hold

启动Hold →吊袜带类/桉例→停止删除作业→通知所有者→记录所有操作→根据Legal的决定删除Hold。

SOP-4： 通过TTL删除

检查活动的Hold →从原子上删除→发布哈希摘要报告→更新目录。

SOP-5： 离岸卖家

请求镜像存储报告→导出/传输→供应商的销毁确认→验证和参考档案。

14）工件元数据（最小值）

UID，类，方案版本，来源，所有者/联系人。
创建和下载日期/时间、管辖权/存储区域。
Hesh/签名/mercli清单和验证历史。
TTL和Legal Hold状态。
链接到相关的字幕/案例/策略。
可用性/出口历史。

15）完整性检查（算法）

每天的战斗样本→哈希重新计票→与默克利根核对→不一致的报告→自动升级和有争议的部分的"自由"，等待调查。

16）质量与测试

Schema compliance ≥ 99.5％（偏差→接收锁定）。
Disaster Restore Drills-季度存档恢复测试。
Reperformability-审核员的复制脚本（报告可重现性）。
Versioned Playbooks-SOP和"audit pack"模板的转换。

17）反模式

缺乏WORM/immutability →证据争议。
没有模式的原始文本→弱搜索/有效性。
没有目录，也没有所有者→"平局"责任。
归档为"仓库"：没有指标/行列，没有DR测试。
永久例外（waivers），无到期日期。
导出时没有哈希收据和访问日志。
PI数据在人工制品中的混合而不会最小化。

18）成熟度模型（M0-M4）

M0手动：分散的文件夹,没有TTL/存储链。
M1目录：文物统一注册表，基本戒律。
M2可管理：WORM/Object Lock,与IAM、Legal Hold、dashbords集成。
M3保证：哈希链，锚定，基于案例的访问，按钮上的"审核包"。
M4持续保证：自动完整性检查、预测风险、供应商的镜像转发、完整的DR演习。

19）相关文章wiki

日志和协议维护

Audit Trail： 跟踪操作

法律保留和数据冻结

数据存储和删除时间表

连续合规性监控（CCM）

KPI和合规度量

尽职调查与外包风险

法规遵从性政策变更管理

与监管机构和审计员的互动

底线

可靠的证据存储不仅是"存档"，而且是一个可管理和可证明的不可改变的系统：WORM和哈希链，严格的回避策略和法律保留，"通过案例"访问，目录和指标，可复制的"审计包"以及定期的完整性检查。在这样的系统中，审计是可预测的，调查速度快，风险得到控制。