Elaboração guiada da documentação de preparação SOC 2
Guia passo a passo para produzir narrativas de controle SOC 2 e placeholders de evidência com o agente, com exemplos de chat e excertos do documento em cada etapa.
Este guia percorre uma sessão típica com o skill SOC 2 Control Narrative Author: você informa ao agente o escopo da auditoria e as políticas existentes, e o agente redige narrativas de controle alinhadas aos Trust Services Criteria (TSC) da AICPA, adiciona placeholders de evidência e executa uma ferramenta de validação integrada para fechar lacunas antes da auditoria Type I ou Type II.
Você verá diálogos de exemplo como mensagens de chat e excertos do documento após cada turno principal para saber o que esperar em cada passo.
O que você precisa
- Um projeto Rakenne com o skill SOC 2 Control Narrative Author ativado.
- Uma ideia clara das categorias TSC no escopo (ex.: apenas Security ou Security + Availability).
- Documentos existentes que o agente deva usar ou estender: política de controle de acesso, procedimento de gestão de mudanças, runbooks, documentação BCP/DR.
Turno 1: Definir o escopo
Você abre o projeto e descreve o objetivo. O agente confirma o escopo e pergunta se deve criar um novo documento ou estender um existente.
Você: Precisamos de preparação para SOC 2 Type II. Estamos no escopo de Security (todos os critérios comuns) e Availability. Pode redigir narrativas de controle e placeholders de evidência para CC1 a CC9 e A1?
Agente: Vou redigir as narrativas de controle para Security (CC1–CC9) e Availability (A1). Você já tem um documento de narrativas de controle para eu estender ou devo criar um novo?
Você: Crie um novo documento. Temos uma política de controle de acesso, um procedimento de gestão de mudanças e runbooks de monitoramento.
Agente: Criei
soc2-control-narratives.mdcom seções por critério. Para CC1 (Control environment) descrevi a supervisão do conselho e a estrutura de gestão e adicionei um placeholder de evidência: “Board charter, org chart, atas de reuniões de gestão.” Para CC6 (Logical and physical access) referenciei sua política de controle de acesso e adicionei placeholders para revisões de acesso e checklist de desligamento. Continuo com CC2–CC5, CC7–CC9 e A1.
Excerto do documento após o turno 1 — O novo arquivo tem título, nota de escopo e os primeiros critérios preenchidos; o resto fica esboçado para a próxima passada.
# SOC 2 Control Narratives — [Company]
**Scope:** Security (CC1–CC9), Availability (A1). Target: Type II readiness.
## CC1 — Control environment
…
## CC6 — Logical and physical access controls
…
## CC2 — Communication and information
*[Drafting in progress…]*
Turno 2: Completar todos os critérios
O agente terminou de redigir CC2–CC5, CC7–CC9 e A1. Você revisa e pede um refinamento.
Agente: Concluí todas as seções. CC2–CC5 cobrem comunicação, avaliação de riscos, atividades de monitoramento e de controle; CC7–CC9 cobrem resposta a incidentes, gestão de mudanças e mitigação de riscos. A1 cobre disponibilidade (SLA, monitoramento, BCP/DR). Cada critério tem uma narrativa de controle e uma linha de evidência. Diga se quiser vincular alguma narrativa a uma política ou runbook específico pelo nome.
Você: Para CC7 pode nomear nosso runbook de resposta a incidentes e adicionar um placeholder para as notas do exercício de mesa?
Agente: CC7 atualizado: a narrativa referencia agora “Incident Response Runbook v1.2” e a linha de evidência inclui “Tabletop exercise notes (annual).”
Excerto após o turno 2 — CC7 e A1 mostram o padrão: narrativa + placeholders de evidência concretos.
## CC7 — Incident response
**Evidence:** Incident Response Runbook v1.2; incident log sample; tabletop exercise notes (annual).
## A1 — Availability
**Evidence:** SLA document; PagerDuty runbook; BCP section 4.2; DR test report 2025.
Turno 3: Executar a ferramenta de validação
Você pede ao agente para executar a verificação de cobertura integrada. A ferramenta informa quais critérios estão presentes e se cada um tem narrativa e referência de evidência; também pode sinalizar evidência ausente ou fraca.
Você: Execute a ferramenta de validação para ver se está faltando algo.
Agente: Executei
check_trust_services_criteria_coverageno documento. Resultado: 10 critérios referenciados (CC1–CC9, A1). Dois avisos: CC4 e CC7 precisam de uma referência de evidência mais clara (ex.: nome do runbook ou do relatório). Vou adicionar agora.
Agente: Atualizei CC4 para referenciar “Monitoring and Alerting Runbook” e CC7 já tinha o nome do runbook; adicionei “quarterly incident review summary” à linha de evidência. Nova execução: PASS — os 10 critérios têm narrativa e referência de evidência.
Saída do validador (excerto) — O que a ferramenta reporta antes e depois das correções.
=== Trust Services Criteria Coverage ===
Criteria referenced: CC1, CC2, CC3, CC4, CC5, CC6, CC7, CC8, CC9, A1 (10)
…
Overall: 2 warnings. Address warnings and re-run for a clean PASS.
Após as atualizações do agente, uma segunda execução mostra:
Overall: PASS — All referenced criteria have control narrative and evidence reference.
Turno 4: Pronto para a preparação da auditoria
Com o check em PASS, o documento está em bom estado para revisão interna e preparação da auditoria. Você ainda pode pedir mais seções (ex.: uma checklist de preparação) ou alinhar o texto a um auditor ou framework específico.
Você: Adicione uma checklist de preparação curta no topo com uma linha por critério e colunas para narrativa feita, evidência coletada e responsável.
Agente: Adicionei uma tabela “Readiness checklist” no topo do documento com as colunas Criterion, Control narrative, Evidence collected, Owner. Linhas para CC1–CC9 e A1. Você pode preencher Owner e Evidence collected conforme for reunindo os artefatos.
Excerto após o turno 4 — O topo do documento inclui agora a tabela da checklist.
## Readiness checklist
| Criterion | Control narrative | Evidence collected | Owner |
| CC1 | Done | — | — |
…
Resumo
| Passo | Você | Agente | Estado do documento |
|---|---|---|---|
| 1 | Indicar escopo (Security + Availability) e pedir novo doc | Cria soc2-control-narratives.md, redige CC1, CC6, esboça o resto | Novo arquivo com primeiros critérios e placeholders |
| 2 | Pedir nomes de runbooks/evidências | Completa todos os critérios, vincula CC7 ao runbook e às notas de tabletop | Rascunho completo para CC1–CC9 e A1 |
| 3 | Pedir execução da validação | Executa check_trust_services_criteria_coverage, corrige evidências CC4/CC7, re-executa | Mesmo doc com linhas de evidência mais claras; check PASS |
| 4 | Pedir checklist de preparação | Adiciona tabela da checklist no topo | Documento pronto para revisão interna e coleta de evidências |
O skill SOC 2 Control Narrative Author mantém a conversa em linguagem simples e produz narrativas e placeholders de evidência alinhados ao TSC. Use a ferramenta integrada check_trust_services_criteria_coverage após cada edição relevante para que as lacunas sejam corrigidas antes do auditor.
Próximos passos
- SOC 2 Control Narrative Author — Página do skill com visão geral e detalhes do validador.
- SOC 2 Readiness Gap Analysis — Mapear controles existentes ao TSC, localizar critérios não mapeados e construir um roadmap de remediação.
- Gestão de sessões e higiene de contexto — Manter sessões SOC 2 longas focadas e evitar sobrecarga de contexto.