# Elaborazione guidata della documentazione di preparazione SOC 2 > Guida passo passo per produrre narrative di controllo SOC 2 e placeholder di evidenze con l'agente, con esempi di chat ed estratti del documento a ogni fase. Author: map[bio:Founder linkedin:https://www.linkedin.com/in/ricardocabral/ name:Ricardo Cabral] Published: 2026-02-18 URL: https://rakenne.app/it/learn/tutorials/soc2-readiness-documentation-guide/index.md Questa guida descrive una sessione tipica con lo skill **SOC 2 Control Narrative Author**: indici all'agente il perimetro di audit e le policy esistenti, e l'agente redige narrative di controllo allineate ai Trust Services Criteria (TSC) AICPA, aggiunge placeholder di evidenze ed esegue uno strumento di validazione integrato per colmare le lacune prima dell'audit Type I o Type II. Vedrai dialoghi di esempio come messaggi di chat ed estratti del documento dopo ogni turno principale, così da sapere cosa aspettarti in ogni fase. ## Cosa ti serve - Un progetto Rakenne con lo skill **SOC 2 Control Narrative Author** attivato. - Un'idea chiara delle **categorie TSC in perimetro** (es. solo Security o Security + Availability). - Eventuali documenti esistenti che l'agente debba usare o estendere: policy di controllo accessi, procedura di change management, runbook, documentazione BCP/DR. --- ## Turno 1: Definire il perimetro Apri il progetto e descrivi l'obiettivo. L'agente conferma il perimetro e chiede se creare un nuovo documento o estendere uno esistente. > **Tu:** Ci serve la preparazione SOC 2 Type II. Siamo in perimetro per Security (tutti i criteri comuni) e Availability. Puoi redigere narrative di controllo e placeholder di evidenze per CC1–CC9 e A1? > **Agente:** Redigerò le narrative di controllo per Security (CC1–CC9) e Availability (A1). Hai già un documento di narrative di controllo da estendere o ne creo uno nuovo? > **Tu:** Crea un nuovo documento. Abbiamo una policy di controllo accessi, una procedura di change management e runbook di monitoraggio. > **Agente:** Ho creato `soc2-control-narratives.md` con sezioni per ogni criterio. Per **CC1 (Control environment)** ho descritto la supervisione del board e la struttura di management e aggiunto un placeholder di evidenza: "Board charter, org chart, verbali riunioni di management." Per **CC6 (Logical and physical access)** ho referenziato la tua policy di controllo accessi e aggiunto placeholder per le revisioni degli accessi e la checklist di uscita. Continuo con CC2–CC5, CC7–CC9 e A1. **Estratto del documento dopo il turno 1** — Il nuovo file ha titolo, nota di perimetro e i primi criteri compilati; il resto è abbozzato per il passaggio successivo. ```md # SOC 2 Control Narratives — [Company] **Scope:** Security (CC1–CC9), Availability (A1). Target: Type II readiness. ## CC1 — Control environment … ## CC6 — Logical and physical access controls … ## CC2 — Communication and information *[Drafting in progress…]* ``` --- ## Turno 2: Completare tutti i criteri L'agente ha terminato di redigere CC2–CC5, CC7–CC9 e A1. Rileggi e chiedi un affinamento. > **Agente:** Ho completato tutte le sezioni. CC2–CC5 coprono comunicazione, risk assessment, attività di monitoraggio e di controllo; CC7–CC9 coprono incident response, change management e risk mitigation. A1 copre la disponibilità (SLA, monitoraggio, BCP/DR). Ogni criterio ha una narrative di controllo e una riga di evidenze. Dimmi se vuoi legare una narrative a una policy o runbook specifico per nome. > **Tu:** Per CC7 puoi nominare il nostro runbook di incident response e aggiungere un placeholder per le note dell'esercizio tabletop? > **Agente:** CC7 aggiornato: la narrative referenzia ora "Incident Response Runbook v1.2" e la riga evidenze include "Tabletop exercise notes (annual)." **Estratto dopo il turno 2** — CC7 e A1 mostrano lo schema: narrative + placeholder di evidenze concreti. ```md ## CC7 — Incident response **Evidence:** Incident Response Runbook v1.2; incident log sample; tabletop exercise notes (annual). ## A1 — Availability **Evidence:** SLA document; PagerDuty runbook; BCP section 4.2; DR test report 2025. ``` --- ## Turno 3: Eseguire lo strumento di validazione Chiedi all'agente di eseguire il controllo di copertura integrato. Lo strumento indica quali criteri sono presenti e se ciascuno ha narrative e riferimento a evidenze; può anche segnalare evidenze mancanti o deboli. > **Tu:** Esegui lo strumento di validazione per vedere se ci manca qualcosa. > **Agente:** Ho eseguito `check_trust_services_criteria_coverage` sul documento. Risultato: 10 criteri referenziati (CC1–CC9, A1). Due avvisi: CC4 e CC7 richiedono un riferimento a evidenze più chiaro (es. nome del runbook o del report). Li aggiungo ora. > **Agente:** Ho aggiornato CC4 per referenziare "Monitoring and Alerting Runbook" e CC7 aveva già il nome del runbook; ho aggiunto "quarterly incident review summary" alla riga evidenze. Nuova esecuzione: **PASS** — tutti i 10 criteri hanno narrative e riferimento a evidenze. **Output del validatore (estratto)** — Cosa segnala lo strumento prima e dopo le correzioni. ```text === Trust Services Criteria Coverage === Criteria referenced: CC1, CC2, CC3, CC4, CC5, CC6, CC7, CC8, CC9, A1 (10) … Overall: 2 warnings. Address warnings and re-run for a clean PASS. ``` Dopo gli aggiornamenti dell'agente, una seconda esecuzione mostra: ```text Overall: PASS — All referenced criteria have control narrative and evidence reference. ``` --- ## Turno 4: Pronto per la preparazione all'audit Con il check in PASS, il documento è in buono stato per revisione interna e preparazione all'audit. Puoi ancora chiedere altre sezioni (es. una checklist di preparazione) o allineare il testo a un auditor o framework specifico. > **Tu:** Aggiungi una breve checklist di preparazione in testa con una riga per criterio e colonne per narrative completata, evidenze raccolte e responsabile. > **Agente:** Ho aggiunto una tabella "Readiness checklist" in testa al documento con le colonne Criterion, Control narrative, Evidence collected, Owner. Righe per CC1–CC9 e A1. Puoi compilare Owner e Evidence collected man mano che raccogli gli artefatti. **Estratto dopo il turno 4** — L'inizio del documento include ora la tabella della checklist. ```md ## Readiness checklist | Criterion | Control narrative | Evidence collected | Owner | | CC1 | Done | — | — | … ``` --- ## Riepilogo | Passo | Tu | Agente | Stato del documento | | ----- | -- | ------ | ------------------- | | 1 | Indicare perimetro (Security + Availability) e chiedere nuovo doc | Crea `soc2-control-narratives.md`, redige CC1, CC6, abbozza il resto | Nuovo file con primi criteri e placeholder | | 2 | Chiedere nomi di runbook/evidenze | Completa tutti i criteri, lega CC7 a runbook e note tabletop | Bozza completa per CC1–CC9 e A1 | | 3 | Chiedere esecuzione validazione | Esegue `check_trust_services_criteria_coverage`, corregge evidenze CC4/CC7, riesegue | Stesso doc con righe evidenze più chiare; check PASS | | 4 | Chiedere checklist di preparazione | Aggiunge tabella checklist in testa | Documento pronto per revisione interna e raccolta evidenze | Lo skill **SOC 2 Control Narrative Author** mantiene la conversazione in linguaggio semplice producendo narrative e placeholder di evidenze allineati al TSC. Usa lo strumento integrato **check_trust_services_criteria_coverage** dopo ogni modifica rilevante così che le lacune siano colmate prima dell'auditor. ## Prossimi passi - **[SOC 2 Control Narrative Author](/skills/soc2-control-narrative-author/)** — Pagina dello skill con panoramica e dettagli del validatore. - **[SOC 2 Readiness Gap Analysis](/skills/soc2-readiness-gap-analysis/)** — Mappare i controlli esistenti al TSC, individuare criteri non mappati e costruire una roadmap di remediation. - **[Gestione delle sessioni e igiene del contesto](/learn/tutorials/session-management/)** — Mantenere le sessioni SOC 2 lunghe focalizzate ed evitare il sovraccarico di contesto. --- Back to [Tutorial](https://rakenne.app/it/learn/tutorials/index.md)