SOC 2 准备文档的引导式编写
分步指南:使用智能体编写 SOC 2 控制说明与证据占位符,含各阶段示例对话与文档片段。
本指南演示一次使用 SOC 2 Control Narrative Author 技能的典型会话:您向智能体说明审计范围与现有政策,智能体按 AICPA 信任服务标准(TSC)编写控制说明、添加证据占位符并运行内置校验工具,以便在 Type I 或 Type II 审计前补齐缺口。
您将看到以聊天消息形式呈现的示例对话,以及每个主要回合后的文档片段,从而了解各步骤的预期效果。
您需要准备
- 已启用 SOC 2 Control Narrative Author 技能的 Rakenne 项目。
- 明确的 在范围 TSC 类别(例如仅 Security,或 Security + Availability)。
- 希望智能体使用或扩展的现有文档:访问控制政策、变更管理程序、运行手册、BCP/DR 文档等。
第 1 回合:确定范围
您打开项目并说明目标。智能体确认范围并询问是创建新文档还是扩展现有文档。
您: 我们需要 SOC 2 Type II 准备。范围包括 Security(所有通用标准)和 Availability。能否为 CC1 到 CC9 和 A1 起草控制说明和证据占位符?
智能体: 我将为 Security(CC1–CC9)和 Availability(A1)起草控制说明。您是否已有需要我扩展的控制说明文档,还是需要新建一个?
您: 新建一个文档。我们有访问控制政策、变更管理程序和监控运行手册。
智能体: 已创建
soc2-control-narratives.md,为每个标准设定了章节。针对 CC1(Control environment) 已描述董事会监督与管理结构,并添加证据占位符:「Board charter, org chart, management meeting minutes」。针对 CC6(Logical and physical access) 已引用您的访问控制政策,并添加了访问审查与离职检查清单的占位符。接下来将处理 CC2–CC5、CC7–CC9 和 A1。
第 1 回合后的文档片段 — 新文件包含标题、范围说明及前几项标准的填写内容;其余部分已搭好框架供下一轮完善。
# SOC 2 Control Narratives — [Company]
**Scope:** Security (CC1–CC9), Availability (A1). Target: Type II readiness.
## CC1 — Control environment
…
## CC6 — Logical and physical access controls
…
## CC2 — Communication and information
*[Drafting in progress…]*
第 2 回合:完成所有标准
智能体已完成 CC2–CC5、CC7–CC9 和 A1 的起草。您审阅后提出一处修改。
智能体: 所有章节已完成。CC2–CC5 涵盖沟通、风险评估、监控活动与控制活动;CC7–CC9 涵盖事件响应、变更管理与风险缓解。A1 涵盖可用性(SLA、监控、BCP/DR)。每个标准均有控制说明与证据行。如需将某条说明与具体政策或运行手册按名称对应,请告知。
您: 能否在 CC7 中写明我们的事件响应运行手册名称,并增加桌面演练笔记的占位符?
智能体: 已更新 CC7:说明中已引用「Incident Response Runbook v1.2」,证据行已加入「Tabletop exercise notes (annual)」。
第 2 回合后的文档片段 — CC7 与 A1 体现同一模式:说明 + 具体证据占位符。
## CC7 — Incident response
**Evidence:** Incident Response Runbook v1.2; incident log sample; tabletop exercise notes (annual).
## A1 — Availability
**Evidence:** SLA document; PagerDuty runbook; BCP section 4.2; DR test report 2025.
第 3 回合:运行校验工具
您请智能体执行内置覆盖检查。工具会报告涉及哪些标准、是否各有说明与证据引用,并可标出缺失或薄弱的证据。
您: 运行校验工具,看我们是否遗漏了什么。
智能体: 已对文档执行
check_trust_services_criteria_coverage。结果:共引用 10 项标准(CC1–CC9、A1)。两条警告:CC4 和 CC7 需要更清晰的证据引用(例如具体运行手册或监控报告名称)。正在补充。
智能体: 已更新 CC4 引用「Monitoring and Alerting Runbook」;CC7 已有运行手册名称,我在证据行中加入了「quarterly incident review summary」。再次运行:PASS — 全部 10 项标准均有控制说明与证据引用。
校验工具输出(片段) — 工具在修正前后报告的内容。
=== Trust Services Criteria Coverage ===
Criteria referenced: CC1, CC2, CC3, CC4, CC5, CC6, CC7, CC8, CC9, A1 (10)
…
Overall: 2 warnings. Address warnings and re-run for a clean PASS.
智能体更新后,第二次运行显示:
Overall: PASS — All referenced criteria have control narrative and evidence reference.
第 4 回合:准备进入审计阶段
校验通过后,文档已适合内部审阅与审计准备。您仍可要求增加章节(如准备情况检查清单)或将表述对齐特定审计方或框架。
您: 在文档顶部加一份简短准备情况检查清单,按标准分行,列包括:说明完成、证据已收集、负责人。
智能体: 已在文档顶部添加「Readiness checklist」表,列包括 Criterion、Control narrative、Evidence collected、Owner。行覆盖 CC1–CC9 和 A1。您可在收集证据过程中填写 Owner 与 Evidence collected。
第 4 回合后的文档片段 — 文档开头现已包含检查清单表。
## Readiness checklist
| Criterion | Control narrative | Evidence collected | Owner |
| CC1 | Done | — | — |
…
小结
| 步骤 | 您 | 智能体 | 文档状态 |
|---|---|---|---|
| 1 | 说明范围(Security + Availability)并请求新文档 | 创建 soc2-control-narratives.md,起草 CC1、CC6,搭好其余框架 | 新文件,含首批标准与占位符 |
| 2 | 要求标明运行手册/证据名称 | 完成所有标准,将 CC7 与运行手册及桌面演练笔记对应 | CC1–CC9 与 A1 的完整草稿 |
| 3 | 要求运行校验 | 执行 check_trust_services_criteria_coverage,修正 CC4/CC7 证据,再次执行 | 同一文档、证据行更清晰;校验 PASS |
| 4 | 要求准备情况检查清单 | 在顶部添加检查清单表 | 文档可用于内部审阅与证据收集 |
SOC 2 Control Narrative Author 技能在保持对话通俗易懂的同时,产出符合 TSC 的说明与证据占位符。每次重要修改后使用内置工具 check_trust_services_criteria_coverage,可在审计前发现并补齐缺口。
后续步骤
- SOC 2 Control Narrative Author — 技能页,含概述与校验工具说明。
- SOC 2 Readiness Gap Analysis — 将现有控制映射到 TSC,找出未覆盖标准并制定整改路线图。
- 会话管理与上下文整洁 — 保持较长 SOC 2 会话聚焦,避免上下文膨胀。