保管證據和文件

1）目標與結果

• 具有法律意義的人工制品不可變性（不可磨滅的事實）。
• 可追蹤性：誰,何時,為什麼創建/修改/閱讀。
• 「按按鈕」（可復制「audit pack」）可審核性。
• 遵守隱私和免責聲明（TTL，法律保留，刪除/匿名）。
• 權利和責任統一輪廓（RACI）和質量指標。

2）文物分類（我們認為是證據）

技術：訪問日誌和管理操作，掃描儀結論（SAST/DAST/SCA），秘密掃描報告，SOAR日誌，IaC/雲漂移，配置備份，KMS/HSM跟蹤。
操作：ITSM tiket/事件/更改, mortem後協議,DR/BCP測試行為,訪問審核報告（re-cert）。
法律和監管：政策/標準/帶有版本日誌的SOP，DPA/SLA/addendums，監管機構通知，查詢響應，SARA/重建。
隱私和數據：處理註冊表，DSAR案例，刪除/匿名確認，退回時間表，法律保留日誌。
供應商/第三方：盡職調查結果，證書（SOC/ISO/PCI），五旬節報告，SLA合規性。
財務和控制：AML/STR報告，限制和例外，SoD確認。

3）原則（設計條款）

默認可變性：WORM/Object Lock,在保留期間禁止覆蓋。
誠信與權威：哈希鏈，默克利根，數字簽名和時間戳。
Minimal&Purpose-bound：僅限數據、別名/掩碼。
基於案例的訪問：通過案例和角色訪問，並具有端到端閱讀/導出日誌。
Policy-as-Code： Rules Reposition/Legal Hold/工件類-在規則存儲庫中。
Auditability：可播放的報告和帶有哈希收據的「audit pack」。

4）角色和RACI

(R — Responsible;A — Accountable;C — Consulted;I — Informed)

5）存儲體系結構（參考）

1.接收區域（ingest）：可靠的總線、mTLS、轉發、重復數據消除、元數據正常化（JSON）。
2.熱存儲：快速搜索/報告（30-90天）。
3.冷存儲：對象/存檔（1-7年），經濟類。
4.WORM/Bobject鎖環路：不變的證據存檔,每個垃圾箱/對象都有策略。
5.完整性：哈希巴奇，默克利樹，定期錨定；檢查日誌。
6.工件目錄/MDM：類型、模式、所有者、TTL、關鍵搜索字段的註冊表。
7.訪問：RBAC/ABAC+基於案例的訪問；帶有哈希收據的出口；靈敏套件的雙管控制。
8.復制和DR：地理分配，RTO/RPO目標，定期恢復檢查。

6） Policy as code （YAML示例）

yaml id: EVD-RET-001 title: "Retention and Legal Hold (evidence)"
classes:
- name: "security_logs"
hot_days: 30 cold_days: 365 worm_years: 3
- name: "contracts_dpa"
hot_days: 0 cold_days: 2555  # ~7 лет worm_years: 7 legal_hold:
enabled: true override_ttl: true privacy:
mask_fields: ["email","phone","ip","account_id"]
export_policy: "case_based"
verification:
integrity_check: "daily"
anchor_cadence: "hourly"

7）存儲鏈（Custody of Custody）

標識：物件的唯一ID、來源、模式版本。
固定：哈希SHA-256/512，包裝簽名，時間戳。
運輸：清單日誌（誰/何時下載/驗證）。
訪問：所有讀數/出口的核算；鏈接到案例/tiket。
報告：哈希收據，驗證協議，交換結果。

8）復仇，法律保留和刪除

按文物類別和司法管轄區劃分的存儲時間表。
在發生事件/監管機構請求時保持合法性-「凍結」刪除。
通過TTL卸載-僅在自動檢查沒有活動的Hold之後。
刪除報告-列出對象+匯總哈希摘要。
供應商離岸是鏡像的回避，是毀滅的確認。

9）私有化和最小化

Scope-miniment：存儲上下文而不是「完全付費」。
敏感字段的別名/掩碼；分開的re-id密鑰。
訪問「通過案例」：對於DSAR/事件-期刊的臨時權利。
跨境性：明確的儲存/處理國家標簽；副本控制。

10）「Audit pack」（結構）

1.組織描述和RACI。
2.政策/標準/SOP（最新版本+changelog）。
3.系統和控制映射+映射到規範/認證。
4.KPI/KRI指標和周期報告。
5.樣本工件：logi，configi，scans，DR/BCP，訪問修訂版。
6.Vendor檔案：DPA/SLA，證書，五旬節報告。
7.SARAH/重建：狀態，關閉的證據。
8.包裹的哈希收據和訪問日誌。

11）度量標準和SLO

Integrity Pass： 100%成功的哈希鏈檢查。
Anchor Freshness p95：在錨點和驗證之間≤ 2小時。
Coverage：在evidence目錄中≥ 98%的關鍵系統。
Access Review SLA： 100%的每月存檔權利認證。
Legal Hold Lag：從活動到Hold安裝≤ 15分鐘。
Export SLA（「audit pack」）：≤ 8小時發出完整的設置。
PII泄漏率：檔案中的0個關鍵泄漏。

12）Dashbords（最低設置）

Integrity＆WORM：錨定狀態，對象鎖，驗證錯誤。
封面和目錄：涵蓋人工制品類別，「孔」，孤兒對象。
Access&Exports：誰在閱讀/卸載什麼、異常、SoD沖突。
Retention&Hold： TTL計時器,Active Legal Hold,刪除時間表。
Vendor Mirror：承包商的鏡像恢復狀態。
審核就緒性：「按鍵」準備就緒和SLA之前的時間。

13） SOP（標準程序）

SOP-1： 下載證據

1.源註冊→ 2）標準化/方案→ 3）哈希和簽名→

2.寫入WORM區域→ 5）驗證和錨定→ 6）目錄更新。

SOP-2： 準備「審計包」

打開案例→收集樣本中的工件列表→形成軟件包→生成哈希收據→法律審查→通過官方渠道簽發→將訪問和副本寫入WORM。

SOP-3: Legal Hold

啟動Hold →吊襪帶類/案例→停止刪除作業→通知所有者→記錄所有操作→根據Legal的決定刪除Hold。

SOP-4： 通過TTL刪除

檢查活動的Hold →從原子上刪除→發布哈希摘要報告→更新目錄。

SOP-5： 離岸賣家

請求鏡像存儲報告→導出/傳輸→供應商的銷毀確認→驗證和參考檔案。

14）工件元數據（最小值）

UID，類，方案版本，來源，所有者/聯系人。
創建和下載日期/時間、管轄權/存儲區域。
Hesh/簽名/mercli清單和驗證歷史。
TTL和Legal Hold狀態。
鏈接到相關的字幕/案例/策略。
可用性/出口歷史。

15）完整性檢查（算法）

每天的戰鬥樣本→哈希重新計票→與默克利根核對→不一致的報告→自動升級和有爭議的部分的「自由」，等待調查。

16）質量與測試

Schema compliance ≥ 99.5％（偏差→接收鎖定）。
Disaster Restore Drills-季度存檔恢復測試。
Reperformability-審核員的復制腳本（報告可重現性）。
Versioned Playbooks-SOP和「audit pack」模板的轉換。

17）反模式

缺乏WORM/immutability →證據爭議。
沒有模式的原始文本→弱搜索/有效性。
沒有目錄，也沒有所有者→「平局」責任。
歸檔為「倉庫」：沒有指標/行列，沒有DR測試。
永久例外（waivers），無到期日期。
導出時沒有哈希收據和訪問日誌。
PI數據在人工制品中的混合而不會最小化。

18）成熟度模型（M0-M4）

M0手動：分散的文件夾,沒有TTL/存儲鏈。
M1目錄：文物統一註冊表，基本戒律。
M2可管理：WORM/Object Lock,與IAM、Legal Hold、dashbords集成。
M3保證：哈希鏈，錨定，基於案例的訪問，按鈕上的「審核包」。
M4持續保證：自動完整性檢查、預測風險、供應商的鏡像轉發、完整的DR演習。

19）相關文章wiki

日誌和協議維護

Audit Trail： 跟蹤操作

法律保留和數據凍結

數據存儲和刪除時間表

連續合規性監控（CCM）

KPI和合規度量

盡職調查與外包風險

法規遵從性政策變更管理

與監管機構和審計員的互動

底線

可靠的證據存儲不僅是「存檔」，而且是一個可管理和可證明的不可改變的系統：WORM和哈希鏈，嚴格的回避策略和法律保留，「通過案例」訪問，目錄和指標，可復制的「審計包」以及定期的完整性檢查。在這樣的系統中，審計是可預測的，調查速度快，風險得到控制。