# SOC 2 准备文档的引导式编写 > 分步指南:使用智能体编写 SOC 2 控制说明与证据占位符,含各阶段示例对话与文档片段。 Author: map[bio:Founder linkedin:https://www.linkedin.com/in/ricardocabral/ name:Ricardo Cabral] Published: 2026-02-18 URL: https://rakenne.app/zh-cn/learn/tutorials/soc2-readiness-documentation-guide/index.md 本指南演示一次使用 **SOC 2 Control Narrative Author** 技能的典型会话:您向智能体说明审计范围与现有政策,智能体按 AICPA 信任服务标准(TSC)编写控制说明、添加证据占位符并运行内置校验工具,以便在 Type I 或 Type II 审计前补齐缺口。 您将看到以聊天消息形式呈现的示例对话,以及每个主要回合后的文档片段,从而了解各步骤的预期效果。 ## 您需要准备 - 已启用 **SOC 2 Control Narrative Author** 技能的 Rakenne 项目。 - 明确的 **在范围 TSC 类别**(例如仅 Security,或 Security + Availability)。 - 希望智能体使用或扩展的现有文档:访问控制政策、变更管理程序、运行手册、BCP/DR 文档等。 --- ## 第 1 回合:确定范围 您打开项目并说明目标。智能体确认范围并询问是创建新文档还是扩展现有文档。 > **您:** 我们需要 SOC 2 Type II 准备。范围包括 Security(所有通用标准)和 Availability。能否为 CC1 到 CC9 和 A1 起草控制说明和证据占位符? > **智能体:** 我将为 Security(CC1–CC9)和 Availability(A1)起草控制说明。您是否已有需要我扩展的控制说明文档,还是需要新建一个? > **您:** 新建一个文档。我们有访问控制政策、变更管理程序和监控运行手册。 > **智能体:** 已创建 `soc2-control-narratives.md`,为每个标准设定了章节。针对 **CC1(Control environment)** 已描述董事会监督与管理结构,并添加证据占位符:「Board charter, org chart, management meeting minutes」。针对 **CC6(Logical and physical access)** 已引用您的访问控制政策,并添加了访问审查与离职检查清单的占位符。接下来将处理 CC2–CC5、CC7–CC9 和 A1。 **第 1 回合后的文档片段** — 新文件包含标题、范围说明及前几项标准的填写内容;其余部分已搭好框架供下一轮完善。 ```md # SOC 2 Control Narratives — [Company] **Scope:** Security (CC1–CC9), Availability (A1). Target: Type II readiness. ## CC1 — Control environment … ## CC6 — Logical and physical access controls … ## CC2 — Communication and information *[Drafting in progress…]* ``` --- ## 第 2 回合:完成所有标准 智能体已完成 CC2–CC5、CC7–CC9 和 A1 的起草。您审阅后提出一处修改。 > **智能体:** 所有章节已完成。CC2–CC5 涵盖沟通、风险评估、监控活动与控制活动;CC7–CC9 涵盖事件响应、变更管理与风险缓解。A1 涵盖可用性(SLA、监控、BCP/DR)。每个标准均有控制说明与证据行。如需将某条说明与具体政策或运行手册按名称对应,请告知。 > **您:** 能否在 CC7 中写明我们的事件响应运行手册名称,并增加桌面演练笔记的占位符? > **智能体:** 已更新 CC7:说明中已引用「Incident Response Runbook v1.2」,证据行已加入「Tabletop exercise notes (annual)」。 **第 2 回合后的文档片段** — CC7 与 A1 体现同一模式:说明 + 具体证据占位符。 ```md ## CC7 — Incident response **Evidence:** Incident Response Runbook v1.2; incident log sample; tabletop exercise notes (annual). ## A1 — Availability **Evidence:** SLA document; PagerDuty runbook; BCP section 4.2; DR test report 2025. ``` --- ## 第 3 回合:运行校验工具 您请智能体执行内置覆盖检查。工具会报告涉及哪些标准、是否各有说明与证据引用,并可标出缺失或薄弱的证据。 > **您:** 运行校验工具,看我们是否遗漏了什么。 > **智能体:** 已对文档执行 `check_trust_services_criteria_coverage`。结果:共引用 10 项标准(CC1–CC9、A1)。两条警告:CC4 和 CC7 需要更清晰的证据引用(例如具体运行手册或监控报告名称)。正在补充。 > **智能体:** 已更新 CC4 引用「Monitoring and Alerting Runbook」;CC7 已有运行手册名称,我在证据行中加入了「quarterly incident review summary」。再次运行:**PASS** — 全部 10 项标准均有控制说明与证据引用。 **校验工具输出(片段)** — 工具在修正前后报告的内容。 ```text === Trust Services Criteria Coverage === Criteria referenced: CC1, CC2, CC3, CC4, CC5, CC6, CC7, CC8, CC9, A1 (10) … Overall: 2 warnings. Address warnings and re-run for a clean PASS. ``` 智能体更新后,第二次运行显示: ```text Overall: PASS — All referenced criteria have control narrative and evidence reference. ``` --- ## 第 4 回合:准备进入审计阶段 校验通过后,文档已适合内部审阅与审计准备。您仍可要求增加章节(如准备情况检查清单)或将表述对齐特定审计方或框架。 > **您:** 在文档顶部加一份简短准备情况检查清单,按标准分行,列包括:说明完成、证据已收集、负责人。 > **智能体:** 已在文档顶部添加「Readiness checklist」表,列包括 Criterion、Control narrative、Evidence collected、Owner。行覆盖 CC1–CC9 和 A1。您可在收集证据过程中填写 Owner 与 Evidence collected。 **第 4 回合后的文档片段** — 文档开头现已包含检查清单表。 ```md ## Readiness checklist | Criterion | Control narrative | Evidence collected | Owner | | CC1 | Done | — | — | … ``` --- ## 小结 | 步骤 | 您 | 智能体 | 文档状态 | | ---- | -- | ------ | -------- | | 1 | 说明范围(Security + Availability)并请求新文档 | 创建 `soc2-control-narratives.md`,起草 CC1、CC6,搭好其余框架 | 新文件,含首批标准与占位符 | | 2 | 要求标明运行手册/证据名称 | 完成所有标准,将 CC7 与运行手册及桌面演练笔记对应 | CC1–CC9 与 A1 的完整草稿 | | 3 | 要求运行校验 | 执行 `check_trust_services_criteria_coverage`,修正 CC4/CC7 证据,再次执行 | 同一文档、证据行更清晰;校验 PASS | | 4 | 要求准备情况检查清单 | 在顶部添加检查清单表 | 文档可用于内部审阅与证据收集 | **SOC 2 Control Narrative Author** 技能在保持对话通俗易懂的同时,产出符合 TSC 的说明与证据占位符。每次重要修改后使用内置工具 **check_trust_services_criteria_coverage**,可在审计前发现并补齐缺口。 ## 后续步骤 - **[SOC 2 Control Narrative Author](/skills/soc2-control-narrative-author/)** — 技能页,含概述与校验工具说明。 - **[SOC 2 Readiness Gap Analysis](/skills/soc2-readiness-gap-analysis/)** — 将现有控制映射到 TSC,找出未覆盖标准并制定整改路线图。 - **[会话管理与上下文整洁](/learn/tutorials/session-management/)** — 保持较长 SOC 2 会话聚焦,避免上下文膨胀。 --- Back to [教程](https://rakenne.app/zh-cn/learn/tutorials/index.md)