Geführte Erstellung von SOC-2-Readiness-Dokumentation
Schritt-für-Schritt-Anleitung zur Erstellung von SOC-2-Kontrollnarrativen und Nachweisplatzhaltern mit dem Agenten, inkl. Beispiel-Chat und Dokumentenauszügen pro Phase.
Diese Anleitung beschreibt eine typische Sitzung mit dem Skill SOC 2 Control Narrative Author: Sie nennen dem Agenten Ihren Prüfungsumfang und bestehende Richtlinien, der Agent erstellt Kontrollnarrative nach den AICPA Trust Services Criteria (TSC), ergänzt Nachweisplatzhalter und führt ein integriertes Validierungstool aus, damit Sie Lücken vor der Type-I- oder Type-II-Prüfung schließen können.
Sie sehen Beispiel-Dialoge als Chatnachrichten und Dokumentenauszüge nach jedem wichtigen Schritt, damit Sie wissen, was in jeder Phase zu erwarten ist.
Was Sie brauchen
- Ein Rakenne-Projekt mit aktiviertem Skill SOC 2 Control Narrative Author.
- Eine klare Vorstellung Ihrer TSC-Kategorien im Umfang (z. B. nur Security oder Security + Availability).
- Vorhandene Dokumente, die der Agent nutzen oder erweitern soll: Zugriffskontrollrichtlinie, Änderungsmanagement-Verfahren, Runbooks, BCP/DR-Dokumente.
Runde 1: Umfang festlegen
Sie öffnen das Projekt und beschreiben Ihr Ziel. Der Agent bestätigt den Umfang und fragt, ob ein neues Dokument erstellt oder ein bestehendes erweitert werden soll.
Sie: Wir brauchen SOC-2-Type-II-Readiness. Unser Umfang umfasst Security (alle Common Criteria) und Availability. Können Sie Kontrollnarrative und Nachweisplatzhalter für CC1 bis CC9 und A1 entwerfen?
Agent: Ich erstelle Kontrollnarrative für Security (CC1–CC9) und Availability (A1). Haben Sie bereits ein Kontrollnarrativ-Dokument, das ich erweitern soll, oder soll ich ein neues anlegen?
Sie: Legen Sie ein neues Dokument an. Wir haben eine Zugriffskontrollrichtlinie, ein Änderungsmanagement-Verfahren und Monitoring-Runbooks.
Agent: Ich habe
soc2-control-narratives.mdmit Abschnitten pro Kriterium angelegt. Für CC1 (Control environment) habe ich Ihre Aufsicht durch den Vorstand und die Managementstruktur beschrieben sowie einen Nachweisplatzhalter ergänzt: „Board Charter, Organigramm, Sitzungsprotokolle des Managements.“ Für CC6 (Logical and physical access) habe ich auf Ihre Zugriffskontrollrichtlinie verwiesen und Platzhalter für Zugriffsprüfungen und Kündigungs-Checkliste ergänzt. Ich fahre mit CC2–CC5, CC7–CC9 und A1 fort.
Dokumentenauszug nach Runde 1 — Die neue Datei enthält Titel, Umfangsangabe und die ersten Kriterien; der Rest ist für den nächsten Durchgang vorbereitet.
# SOC 2 Control Narratives — [Company]
**Scope:** Security (CC1–CC9), Availability (A1). Target: Type II readiness.
---
## CC1 — Control environment
…
## CC6 — Logical and physical access controls
…
## CC2 — Communication and information
*[Drafting in progress…]*
Runde 2: Alle Kriterien ausarbeiten
Der Agent hat CC2–CC5, CC7–CC9 und A1 ausgearbeitet. Sie prüfen und bitten um eine Anpassung.
Agent: Ich habe alle Abschnitte fertiggestellt. CC2–CC5 decken Kommunikation, Risikobewertung, Überwachung und Kontrollaktivitäten ab; CC7–CC9 decken Incident Response, Änderungsmanagement und Risikominderung ab. A1 deckt Availability (SLA, Monitoring, BCP/DR) ab. Jedes Kriterium hat ein Kontrollnarrativ und eine Nachweiszeile. Sagen Sie mir, ob Sie ein Narrativ an eine bestimmte Richtlinie oder ein Runbook anbinden möchten.
Sie: Können Sie für CC7 unser Incident-Response-Runbook namentlich nennen und einen Platzhalter für Tabletop-Übungsnotizen ergänzen?
Agent: CC7 aktualisiert: Das Narrativ verweist jetzt auf „Incident Response Runbook v1.2“, und die Nachweiszeile enthält „Tabletop exercise notes (annual).“
Dokumentenauszug nach Runde 2 — CC7 und A1 zeigen das Muster: Narrativ plus konkrete Nachweisplatzhalter.
## CC7 — Incident response
**Control narrative:** … Incident Response Runbook v1.2 …
**Evidence:** Incident Response Runbook v1.2; incident log sample; tabletop exercise notes (annual).
## A1 — Availability
**Evidence:** SLA document; PagerDuty runbook; BCP section 4.2; DR test report 2025.
Runde 3: Validierungstool ausführen
Sie bitten den Agenten, die integrierte Abdeckungsprüfung auszuführen. Das Tool meldet, welche Kriterien vorkommen und ob jeweils ein Narrativ und ein Nachweisbezug vorhanden sind; es kann auch fehlende oder schwache Nachweise kennzeichnen.
Sie: Führen Sie das Validierungstool aus, ob wir etwas vergessen haben.
Agent: Ich habe
check_trust_services_criteria_coverageauf dem Dokument ausgeführt. Ergebnis: 10 referenzierte Kriterien (CC1–CC9, A1). Zwei Warnungen: CC4 und CC7 benötigen einen klareren Nachweisbezug (z. B. konkrete Runbook- oder Berichtsbezeichnung). Ich ergänze das jetzt.
Agent: CC4 verweist jetzt auf „Monitoring and Alerting Runbook“; CC7 hatte den Runbook-Namen bereits. Ich habe „quarterly incident review summary“ in die Nachweiszeile aufgenommen. Erneute Prüfung: PASS — alle 10 Kriterien haben Narrativ und Nachweisbezug.
Validator-Auszug — Das, was das Tool vor und nach den Anpassungen meldet.
=== Trust Services Criteria Coverage ===
Criteria referenced: CC1, CC2, CC3, CC4, CC5, CC6, CC7, CC8, CC9, A1 (10)
…
Overall: 2 warnings. Address warnings and re-run for a clean PASS.
Nach den Anpassungen des Agenten zeigt ein zweiter Lauf:
Overall: PASS — All referenced criteria have control narrative and evidence reference.
Runde 4: Bereit für die Prüfungsvorbereitung
Mit bestandener Prüfung ist das Dokument bereit für die interne Prüfung und die Prüfungsvorbereitung. Sie können weiterhin weitere Abschnitte (z. B. eine Readiness-Checkliste) anfragen oder die Formulierung an einen bestimmten Prüfer oder ein Framework anpassen.
Sie: Fügen Sie oben eine kurze Readiness-Checkliste mit einer Zeile pro Kriterium und Spalten für Narrativ erledigt, Nachweise gesammelt und Verantwortlicher hinzu.
Agent: Ich habe oben eine Tabelle „Readiness checklist“ mit den Spalten Criterion, Control narrative, Evidence collected, Owner ergänzt. Zeilen für CC1–CC9 und A1. Sie können Owner und Evidence collected beim Sammeln der Artefakte ausfüllen.
Dokumentenauszug nach Runde 4 — Der Dokumentanfang enthält nun die Checklistentabelle.
## Readiness checklist
| Criterion | Control narrative | Evidence collected | Owner |
| CC1 | Done | — | — |
…
Zusammenfassung
| Schritt | Sie | Agent | Dokumentstand |
|---|---|---|---|
| 1 | Umfang nennen (Security + Availability) und neues Dokument anfragen | Erstellt soc2-control-narratives.md, entwirft CC1, CC6, skizziert den Rest | Neue Datei mit ersten Kriterien und Platzhaltern |
| 2 | Benennung von Runbooks/Nachweisen anfragen | Schließt alle Kriterien ab, verknüpft CC7 mit Runbook und Tabletop-Notizen | Vollständiger Entwurf für CC1–CC9 und A1 |
| 3 | Validierung anfragen | Führt check_trust_services_criteria_coverage aus, verbessert CC4/CC7-Nachweise, führt erneut aus | Dasselbe Dokument mit klareren Nachweiszeilen; Check PASS |
| 4 | Readiness-Checkliste anfragen | Fügt Checklistentabelle oben ein | Dokument bereit für interne Prüfung und Nachweissammlung |
Der Skill SOC 2 Control Narrative Author hält die Konversation in einfacher Sprache und erzeugt trotzdem TSC-konforme Narrative und Nachweisplatzhalter. Nutzen Sie das integrierte Tool check_trust_services_criteria_coverage nach jeder größeren Bearbeitung, damit Lücken vor dem Prüfer behoben werden.
Nächste Schritte
- SOC 2 Control Narrative Author — Skill-Seite mit Überblick und Validierungstool.
- SOC 2 Readiness Gap Analysis — Bestehende Kontrollen dem TSC zuordnen, fehlende Kriterien finden und einen Remediation-Fahrplan erstellen.
- Session-Verwaltung und Kontext-Hygiene — Lange SOC-2-Sitzungen fokussiert halten und Kontextüberladung vermeiden.