Élaboration guidée de la documentation de préparation SOC 2
Guide pas à pas pour produire des narratifs de contrôle SOC 2 et des placeholders de preuves avec l'agent, avec exemples de dialogue et extraits de document à chaque étape.
Ce guide décrit une session typique avec le skill SOC 2 Control Narrative Author : vous indiquez à l’agent le périmètre d’audit et les politiques existantes, et l’agent rédige des narratifs de contrôle alignés sur les Trust Services Criteria (TSC) de l’AICPA, ajoute des placeholders de preuves et exécute un outil de validation intégré pour combler les lacunes avant l’audit Type I ou Type II.
Vous verrez des dialogues d’exemple sous forme de messages de chat et des extraits de document après chaque tour pour savoir à quoi vous attendre à chaque étape.
Ce dont vous avez besoin
- Un projet Rakenne avec le skill SOC 2 Control Narrative Author activé.
- Une idée claire des catégories TSC dans le périmètre (ex. Security uniquement, ou Security + Availability).
- Les documents existants que l’agent doit utiliser ou compléter : politique de contrôle d’accès, procédure de gestion des changements, runbooks, documentation BCP/DR.
Tour 1 : Définir le périmètre
Vous ouvrez le projet et décrivez votre objectif. L’agent confirme le périmètre et demande s’il doit créer un nouveau document ou compléter un existant.
Vous : Nous avons besoin de la préparation SOC 2 Type II. Notre périmètre couvre Security (tous les critères communs) et Availability. Pouvez-vous rédiger les narratifs de contrôle et les placeholders de preuves pour CC1 à CC9 et A1 ?
Agent : Je vais rédiger les narratifs de contrôle pour Security (CC1–CC9) et Availability (A1). Avez-vous déjà un document de narratifs de contrôle à compléter ou dois-je en créer un nouveau ?
Vous : Créez un nouveau document. Nous avons une politique de contrôle d’accès, une procédure de gestion des changements et des runbooks de surveillance.
Agent : J’ai créé
soc2-control-narratives.mdavec une section par critère. Pour CC1 (Control environment) j’ai décrit la supervision du conseil et la structure de management et ajouté un placeholder de preuve : « Board charter, org chart, procès-verbaux des réunions de direction ». Pour CC6 (Logical and physical access) j’ai référencé votre politique de contrôle d’accès et ajouté des placeholders pour les revues d’accès et la checklist de départ. Je continue avec CC2–CC5, CC7–CC9 et A1.
Extrait du document après le tour 1 — Le nouveau fichier contient un titre, la note de périmètre et les premiers critères renseignés ; le reste est ébauché pour la passe suivante.
# SOC 2 Control Narratives — [Company]
**Scope:** Security (CC1–CC9), Availability (A1). Target: Type II readiness.
## CC1 — Control environment
…
## CC6 — Logical and physical access controls
…
## CC2 — Communication and information
*[Drafting in progress…]*
Tour 2 : Compléter tous les critères
L’agent a terminé la rédaction de CC2–CC5, CC7–CC9 et A1. Vous relisez et demandez un ajustement.
Agent : J’ai complété toutes les sections. CC2–CC5 couvrent la communication, l’évaluation des risques, les activités de surveillance et de contrôle ; CC7–CC9 couvrent la réponse aux incidents, la gestion des changements et la mitigation des risques. A1 couvre la disponibilité (SLA, surveillance, BCP/DR). Chaque critère a un narratif de contrôle et une ligne de preuves. Dites-moi si vous voulez lier un narratif à une politique ou un runbook précis par son nom.
Vous : Pour CC7, pouvez-vous nommer notre runbook de réponse aux incidents et ajouter un placeholder pour les notes d’exercice tabletop ?
Agent : CC7 mis à jour : le narratif référence désormais « Incident Response Runbook v1.2 » et la ligne de preuves inclut « Tabletop exercise notes (annual). »
Extrait après le tour 2 — CC7 et A1 illustrent le schéma : narratif + placeholders de preuves concrets.
## CC7 — Incident response
**Evidence:** Incident Response Runbook v1.2; incident log sample; tabletop exercise notes (annual).
## A1 — Availability
**Evidence:** SLA document; PagerDuty runbook; BCP section 4.2; DR test report 2025.
Tour 3 : Lancer l’outil de validation
Vous demandez à l’agent d’exécuter la vérification de couverture intégrée. L’outil indique quels critères sont présents et si chacun a un narratif et une référence de preuve ; il peut aussi signaler des preuves manquantes ou faibles.
Vous : Lancez l’outil de validation pour voir s’il nous manque quelque chose.
Agent : J’ai exécuté
check_trust_services_criteria_coveragesur le document. Résultat : 10 critères référencés (CC1–CC9, A1). Deux avertissements : CC4 et CC7 ont besoin d’une référence de preuve plus claire (ex. nom du runbook ou du rapport). Je les ajoute maintenant.
Agent : J’ai mis à jour CC4 pour référencer « Monitoring and Alerting Runbook » et CC7 avait déjà le nom du runbook ; j’ai ajouté « quarterly incident review summary » à la ligne de preuves. Nouvelle exécution : PASS — les 10 critères ont un narratif et une référence de preuve.
Sortie du validateur (extrait) — Ce que l’outil rapporte avant et après les corrections.
=== Trust Services Criteria Coverage ===
Criteria referenced: CC1, CC2, CC3, CC4, CC5, CC6, CC7, CC8, CC9, A1 (10)
…
Overall: 2 warnings. Address warnings and re-run for a clean PASS.
Après les mises à jour de l’agent, une deuxième exécution affiche :
Overall: PASS — All referenced criteria have control narrative and evidence reference.
Tour 4 : Prêt pour la préparation à l’audit
Avec le check en PASS, le document est en bon état pour la revue interne et la préparation à l’audit. Vous pouvez encore demander d’autres sections (ex. une checklist de préparation) ou d’aligner la formulation sur un auditeur ou un référentiel donné.
Vous : Ajoutez une courte checklist de préparation en tête avec une ligne par critère et des colonnes pour narratif fait, preuves collectées et responsable.
Agent : J’ai ajouté un tableau « Readiness checklist » en tête du document avec les colonnes Criterion, Control narrative, Evidence collected, Owner. Lignes pour CC1–CC9 et A1. Vous pouvez remplir Owner et Evidence collected au fur et à mesure de la collecte des artefacts.
Extrait après le tour 4 — Le début du document contient maintenant le tableau de la checklist.
## Readiness checklist
| Criterion | Control narrative | Evidence collected | Owner |
| CC1 | Done | — | — |
…
Résumé
| Étape | Vous | Agent | État du document |
|---|---|---|---|
| 1 | Indiquer le périmètre (Security + Availability) et demander un nouveau doc | Crée soc2-control-narratives.md, rédige CC1, CC6, ébauche le reste | Nouveau fichier avec premiers critères et placeholders |
| 2 | Demander la désignation des runbooks / preuves | Complète tous les critères, lie CC7 au runbook et aux notes tabletop | Brouillon complet pour CC1–CC9 et A1 |
| 3 | Demander l’exécution de la validation | Exécute check_trust_services_criteria_coverage, corrige les preuves CC4/CC7, ré-exécute | Même doc avec des lignes de preuves plus claires ; check PASS |
| 4 | Demander la checklist de préparation | Ajoute le tableau de checklist en tête | Document prêt pour revue interne et collecte de preuves |
Le skill SOC 2 Control Narrative Author garde la conversation en langage simple tout en produisant des narratifs et placeholders de preuves alignés TSC. Utilisez l’outil intégré check_trust_services_criteria_coverage après chaque modification importante pour que les lacunes soient corrigées avant l’auditeur.
Prochaines étapes
- SOC 2 Control Narrative Author — Page du skill avec présentation et détails du validateur.
- SOC 2 Readiness Gap Analysis — Cartographier les contrôles existants sur le TSC, identifier les critères non couverts et construire une feuille de route de remédiation.
- Gestion des sessions et hygiène du contexte — Garder les sessions SOC 2 longues focalisées et éviter la surcharge de contexte.