[转载]BS7799与证据收集

信息来源：计算机取证

BS7799中对证据收集做了如下规范：
12.1.7.1 证据的规则
对个人或组织提起诉讼时，必须要有足够的证据。只要诉讼为内部约束事务，必要的证据就要通过内部程序进行说明。
如果采取的行动涉及法律，不论是民法还是刑法，则所提供的证据应该符合相关法律或本案受理法庭的条例对证据的规定。一般情况下，这些规则包括以下内容：
a) 证据的可采性：证据是否可以在法庭上使用。
b) 证据的份量：证据的质量和完整性。
c) 在系统存储和处理待收集证据期间一贯正确地实施控制措施的充分证据（即过程控制证据）。
12.1.7.2 证据的可采性
要实现证据的可采性，组织应该保证其信息系统符合有关出示可采证据的公布标准或通用法规。
12.1.7.3 证据的质量和完整性
要确保证据的质量和完整性，需要能提供有力的证据线索。一般情况下，可以根据以下条件找到有力的证据线索。
a) 书面文件：原件要妥为保管，要记录发现人、发现地点、发现时间和发现时在场证人。任何调查都应该确保不篡改原件。
b) 关于计算机介质的信息：对任何活动介质、硬盘上信息或内存中信息应该进行复制，以保证其可用性。应该对复制过程中的所有活动保留日志记录，而且应该有人作证。应该妥善保管一份介质和日志的副本。
刚了解到发生事件时，可能还无法明确知道它是否可能引起法律诉讼。因此，在意识到事件的严重性之前存在必要证据无意被破坏的危险。建议在任何可能的法律诉讼初期让律师或警察参与进来，对所需证据提供建议。