Elaborazione guidata della documentazione di preparazione SOC 2
Guida passo passo per produrre narrative di controllo SOC 2 e placeholder di evidenze con l'agente, con esempi di chat ed estratti del documento a ogni fase.
Questa guida descrive una sessione tipica con lo skill SOC 2 Control Narrative Author: indici all’agente il perimetro di audit e le policy esistenti, e l’agente redige narrative di controllo allineate ai Trust Services Criteria (TSC) AICPA, aggiunge placeholder di evidenze ed esegue uno strumento di validazione integrato per colmare le lacune prima dell’audit Type I o Type II.
Vedrai dialoghi di esempio come messaggi di chat ed estratti del documento dopo ogni turno principale, così da sapere cosa aspettarti in ogni fase.
Cosa ti serve
- Un progetto Rakenne con lo skill SOC 2 Control Narrative Author attivato.
- Un’idea chiara delle categorie TSC in perimetro (es. solo Security o Security + Availability).
- Eventuali documenti esistenti che l’agente debba usare o estendere: policy di controllo accessi, procedura di change management, runbook, documentazione BCP/DR.
Turno 1: Definire il perimetro
Apri il progetto e descrivi l’obiettivo. L’agente conferma il perimetro e chiede se creare un nuovo documento o estendere uno esistente.
Tu: Ci serve la preparazione SOC 2 Type II. Siamo in perimetro per Security (tutti i criteri comuni) e Availability. Puoi redigere narrative di controllo e placeholder di evidenze per CC1–CC9 e A1?
Agente: Redigerò le narrative di controllo per Security (CC1–CC9) e Availability (A1). Hai già un documento di narrative di controllo da estendere o ne creo uno nuovo?
Tu: Crea un nuovo documento. Abbiamo una policy di controllo accessi, una procedura di change management e runbook di monitoraggio.
Agente: Ho creato
soc2-control-narratives.mdcon sezioni per ogni criterio. Per CC1 (Control environment) ho descritto la supervisione del board e la struttura di management e aggiunto un placeholder di evidenza: “Board charter, org chart, verbali riunioni di management.” Per CC6 (Logical and physical access) ho referenziato la tua policy di controllo accessi e aggiunto placeholder per le revisioni degli accessi e la checklist di uscita. Continuo con CC2–CC5, CC7–CC9 e A1.
Estratto del documento dopo il turno 1 — Il nuovo file ha titolo, nota di perimetro e i primi criteri compilati; il resto è abbozzato per il passaggio successivo.
# SOC 2 Control Narratives — [Company]
**Scope:** Security (CC1–CC9), Availability (A1). Target: Type II readiness.
## CC1 — Control environment
…
## CC6 — Logical and physical access controls
…
## CC2 — Communication and information
*[Drafting in progress…]*
Turno 2: Completare tutti i criteri
L’agente ha terminato di redigere CC2–CC5, CC7–CC9 e A1. Rileggi e chiedi un affinamento.
Agente: Ho completato tutte le sezioni. CC2–CC5 coprono comunicazione, risk assessment, attività di monitoraggio e di controllo; CC7–CC9 coprono incident response, change management e risk mitigation. A1 copre la disponibilità (SLA, monitoraggio, BCP/DR). Ogni criterio ha una narrative di controllo e una riga di evidenze. Dimmi se vuoi legare una narrative a una policy o runbook specifico per nome.
Tu: Per CC7 puoi nominare il nostro runbook di incident response e aggiungere un placeholder per le note dell’esercizio tabletop?
Agente: CC7 aggiornato: la narrative referenzia ora “Incident Response Runbook v1.2” e la riga evidenze include “Tabletop exercise notes (annual).”
Estratto dopo il turno 2 — CC7 e A1 mostrano lo schema: narrative + placeholder di evidenze concreti.
## CC7 — Incident response
**Evidence:** Incident Response Runbook v1.2; incident log sample; tabletop exercise notes (annual).
## A1 — Availability
**Evidence:** SLA document; PagerDuty runbook; BCP section 4.2; DR test report 2025.
Turno 3: Eseguire lo strumento di validazione
Chiedi all’agente di eseguire il controllo di copertura integrato. Lo strumento indica quali criteri sono presenti e se ciascuno ha narrative e riferimento a evidenze; può anche segnalare evidenze mancanti o deboli.
Tu: Esegui lo strumento di validazione per vedere se ci manca qualcosa.
Agente: Ho eseguito
check_trust_services_criteria_coveragesul documento. Risultato: 10 criteri referenziati (CC1–CC9, A1). Due avvisi: CC4 e CC7 richiedono un riferimento a evidenze più chiaro (es. nome del runbook o del report). Li aggiungo ora.
Agente: Ho aggiornato CC4 per referenziare “Monitoring and Alerting Runbook” e CC7 aveva già il nome del runbook; ho aggiunto “quarterly incident review summary” alla riga evidenze. Nuova esecuzione: PASS — tutti i 10 criteri hanno narrative e riferimento a evidenze.
Output del validatore (estratto) — Cosa segnala lo strumento prima e dopo le correzioni.
=== Trust Services Criteria Coverage ===
Criteria referenced: CC1, CC2, CC3, CC4, CC5, CC6, CC7, CC8, CC9, A1 (10)
…
Overall: 2 warnings. Address warnings and re-run for a clean PASS.
Dopo gli aggiornamenti dell’agente, una seconda esecuzione mostra:
Overall: PASS — All referenced criteria have control narrative and evidence reference.
Turno 4: Pronto per la preparazione all’audit
Con il check in PASS, il documento è in buono stato per revisione interna e preparazione all’audit. Puoi ancora chiedere altre sezioni (es. una checklist di preparazione) o allineare il testo a un auditor o framework specifico.
Tu: Aggiungi una breve checklist di preparazione in testa con una riga per criterio e colonne per narrative completata, evidenze raccolte e responsabile.
Agente: Ho aggiunto una tabella “Readiness checklist” in testa al documento con le colonne Criterion, Control narrative, Evidence collected, Owner. Righe per CC1–CC9 e A1. Puoi compilare Owner e Evidence collected man mano che raccogli gli artefatti.
Estratto dopo il turno 4 — L’inizio del documento include ora la tabella della checklist.
## Readiness checklist
| Criterion | Control narrative | Evidence collected | Owner |
| CC1 | Done | — | — |
…
Riepilogo
| Passo | Tu | Agente | Stato del documento |
|---|---|---|---|
| 1 | Indicare perimetro (Security + Availability) e chiedere nuovo doc | Crea soc2-control-narratives.md, redige CC1, CC6, abbozza il resto | Nuovo file con primi criteri e placeholder |
| 2 | Chiedere nomi di runbook/evidenze | Completa tutti i criteri, lega CC7 a runbook e note tabletop | Bozza completa per CC1–CC9 e A1 |
| 3 | Chiedere esecuzione validazione | Esegue check_trust_services_criteria_coverage, corregge evidenze CC4/CC7, riesegue | Stesso doc con righe evidenze più chiare; check PASS |
| 4 | Chiedere checklist di preparazione | Aggiunge tabella checklist in testa | Documento pronto per revisione interna e raccolta evidenze |
Lo skill SOC 2 Control Narrative Author mantiene la conversazione in linguaggio semplice producendo narrative e placeholder di evidenze allineati al TSC. Usa lo strumento integrato check_trust_services_criteria_coverage dopo ogni modifica rilevante così che le lacune siano colmate prima dell’auditor.
Prossimi passi
- SOC 2 Control Narrative Author — Pagina dello skill con panoramica e dettagli del validatore.
- SOC 2 Readiness Gap Analysis — Mappare i controlli esistenti al TSC, individuare criteri non mappati e costruire una roadmap di remediation.
- Gestione delle sessioni e igiene del contesto — Mantenere le sessioni SOC 2 lunghe focalizzate ed evitare il sovraccarico di contesto.