performing-soc-2-type-ii-audit-preparation
SOC 2 Type II 审计准备涉及在规定审计期间(通常为 6-12 个月)设计、实施并证明与 AICPA 信任服务标准(Trust Services Criteria,TSC)对齐的控制措施的运营有效性
Best use case
performing-soc-2-type-ii-audit-preparation is best used when you need a repeatable AI agent workflow instead of a one-off prompt.
SOC 2 Type II 审计准备涉及在规定审计期间(通常为 6-12 个月)设计、实施并证明与 AICPA 信任服务标准(Trust Services Criteria,TSC)对齐的控制措施的运营有效性
Teams using performing-soc-2-type-ii-audit-preparation should expect a more consistent output, faster repeated execution, less prompt rewriting.
When to use this skill
- You want a reusable workflow that can be run more than once with consistent structure.
When not to use this skill
- You only need a quick one-off answer and do not need a reusable workflow.
- You cannot install or maintain the underlying files, dependencies, or repository context.
Installation
Claude Code / Cursor / Codex
Manual Installation
- Download SKILL.md from GitHub
- Place it in
.claude/skills/performing-soc2-type2-audit-preparation/SKILL.mdinside your project - Restart your AI agent — it will auto-discover the skill
How performing-soc-2-type-ii-audit-preparation Compares
| Feature / Agent | performing-soc-2-type-ii-audit-preparation | Standard Approach |
|---|---|---|
| Platform Support | Not specified | Limited / Varies |
| Context Awareness | High | Baseline |
| Installation Complexity | Unknown | N/A |
Frequently Asked Questions
What does this skill do?
SOC 2 Type II 审计准备涉及在规定审计期间(通常为 6-12 个月)设计、实施并证明与 AICPA 信任服务标准(Trust Services Criteria,TSC)对齐的控制措施的运营有效性
Where can I find the source code?
You can find the source code on GitHub using the link provided at the top of the page.
SKILL.md Source
# 执行 SOC 2 Type II 审计准备 ## 概述 SOC 2 Type II 审计准备涉及在规定审计期间(通常为 6-12 个月)设计、实施并证明与 AICPA 信任服务标准(Trust Services Criteria,TSC)对齐的控制措施的运营有效性。与仅在某一时间点评估控制设计的 Type I 不同,Type II 评估的是控制措施在整个审查期间是否持续有效运作。 ## 前置条件 - 了解 AICPA 信任服务标准(2017 年版,2022 年更新) - 熟悉内部控制框架(COSO 2013) - 熟悉组织 IT 基础设施和数据流 - 能够使用 GRC(治理、风险、合规)工具 ## 核心概念 ### 信任服务标准(TSC) 共五个类别,其中安全性(通用标准)为必选: | 标准 | 描述 | 是否必选 | |----------|-------------|----------| | **安全性(CC)** | 防止未授权访问 | 必选 | | **可用性(A)** | 系统可供操作和使用 | 可选 | | **处理完整性(PI)** | 系统处理完整、有效、准确、及时、已授权 | 可选 | | **保密性(C)** | 保护被标记为保密的信息 | 可选 | | **隐私性(P)** | 按通知要求收集、使用、保留、披露个人信息 | 可选 | ### 通用标准(CC 系列) 安全性按 COSO 原则组织为 9 个系列: | 系列 | 关注领域 | COSO 原则 | |--------|-----------|----------------| | CC1 | 控制环境 | 诚信与道德价值观 | | CC2 | 沟通与信息 | 支持控制的高质量信息 | | CC3 | 风险评估 | 识别和评估风险 | | CC4 | 监控活动 | 监控和评估控制措施 | | CC5 | 控制活动 | 选择和发展控制措施 | | CC6 | 逻辑和物理访问 | 将访问限制在授权用户 | | CC7 | 系统运营 | 检测和响应系统异常 | | CC8 | 变更管理 | 已授权、已测试、已批准的变更 | | CC9 | 风险缓解 | 通过业务流程缓解风险 | ### Type I 与 Type II 对比 | 方面 | Type I | Type II | |--------|--------|---------| | 范围 | 某一时间点的控制设计 | 一段时间内控制的有效性 | | 审计期间 | 单一日期 | 6-12 个月(通常为 12 个月) | | 证据 | 设计文档 | 整个期间的运营证据 | | 保证级别 | 较低 | 较高 | | 市场价值 | 初始基线 | 行业标准期望 | ## 实施步骤 ### 第一阶段:范围界定与准备就绪(第 1-4 周) 1. 确定纳入哪些 TSC 类别(安全性为必选,其他根据客户需求确定) 2. 定义系统边界和系统描述组成部分: - 基础设施(服务器、网络、云服务) - 软件(应用程序、操作系统) - 人员(角色、职责) - 流程(自动化和手动流程) - 数据(数据流、数据分类) 3. 选择审计机构(具有 SOC 经验的 CPA 事务所) 4. 定义审计窗口(开始和结束日期) 5. 对照选定标准进行准备就绪评估 ### 第二阶段:控制设计与实施(第 5-16 周) 1. 将组织控制措施映射到 TSC 标准 2. 为每个适用标准设计控制措施: - **CC6.1**:逻辑访问安全(SSO、MFA、RBAC) - **CC6.2**:系统凭据管理 - **CC6.3**:离职后访问权限移除 - **CC7.1**:入侵检测与监控 - **CC7.2**:安全事件响应 - **CC8.1**:变更管理流程 3. 实施技术控制措施: - 身份提供商(Okta、Azure AD) - 终端检测与响应(EDR) - 用于日志聚合的 SIEM - 漏洞扫描 - 传输中和静态数据加密 4. 实施管理控制措施: - 安全策略和程序 - 背景调查流程 - 安全意识培训 - 供应商管理计划 5. 记录所有控制措施,包含: - 控制目标 - 控制活动描述 - 频率(持续、每日、每周、每季度、每年) - 控制负责人 - 证据类型(截图、报告、工单、日志) ### 第三阶段:证据收集期(审计窗口) 1. 在整个审计期间持续运营控制措施 2. 收集并整理证据: - 访问权限审查完成记录(每季度) - 变更管理工单和审批记录 - 事件响应日志 - 漏洞扫描报告 - 渗透测试结果 - 培训完成记录 - 备份验证日志 - 系统可用性报告 3. 按清晰的命名规范维护证据库 4. 跟踪控制失效和例外情况 5. 对期间发现的任何控制缺口实施整改 ### 第四阶段:审计前准备(审计前数周) 1. 执行内部控制测试(穿行测试) 2. 准备系统描述文件 3. 按 TSC 标准组织证据 4. 向控制负责人介绍审计流程 5. 准备管理层声明函 6. 识别并整改任何最后时刻发现的缺口 ### 第五阶段:审计执行 1. 审计师执行询问、观察、检查和重新执行 2. 提供所需证据和访问权限 3. 回应审计师的问题和信息请求 4. 处理测试过程中发现的任何例外情况 5. 审查报告草稿的事实准确性 ### 第六阶段:报告与整改 1. 接收 SOC 2 Type II 报告 2. 处理任何保留意见或控制例外 3. 向客户分发报告(通常须签署保密协议) 4. 制定已识别例外的整改计划 5. 开始准备下一个审计周期 ## 关键交付物 - 系统描述文件 - 控制矩阵(TSC 映射) - 风险评估文档 - 证据库 - 管理层声明函 - SOC 2 Type II 报告(第 I-V 节) - 例外整改计划 ## 常见陷阱 - 证据收集启动过晚——需要覆盖完整审计期间 - 控制运营不一致(如遗漏季度访问审查) - 系统描述详细程度不足 - 未将子服务组织(IaaS 提供商)纳入范围 - 未能记录互补用户实体控制措施(CUEC) - 手动控制措施缺乏执行的书面证据 ## 参考资料 - AICPA 信任服务标准 2017(2022 年更新):https://www.aicpa-cima.com/topic/audit-assurance/audit-and-assurance-greater-than-soc-2 - AICPA SOC 2 报告指南 - COSO 内部控制框架 2013 - Secureframe SOC 2 信任服务标准指南:https://secureframe.com/hub/soc-2/trust-services-criteria
Related Skills
performing-yara-rule-development-for-detection
通过识别可执行文件中的唯一字节模式、字符串和行为指标,开发精准的 YARA 恶意软件检测规则,同时将误报率降至最低。
performing-wireless-security-assessment-with-kismet
使用 Kismet 通过被动射频监控进行无线网络安全评估,检测流氓接入点(Rogue AP)、隐藏 SSID、弱加密和未授权客户端。
performing-wireless-network-penetration-test
执行无线网络渗透测试,通过捕获握手包、破解 WPA2/WPA3 密钥、检测流氓接入点以及使用 Aircrack-ng 和相关工具测试无线网络分段,评估 WiFi 安全性。
performing-windows-artifact-analysis-with-eric-zimmerman-tools
使用 Eric Zimmerman 的开源 EZ Tools 套件(包括 KAPE、MFTECmd、PECmd、LECmd、JLECmd 和 Timeline Explorer)执行全面的 Windows 取证制品分析,解析注册表 hive、预取文件、事件日志和文件系统元数据。
performing-wifi-password-cracking-with-aircrack
在授权无线安全评估中捕获 WPA/WPA2 握手包,并使用 aircrack-ng、hashcat 和字典攻击进行离线密码破解, 以评估密码短语强度和无线网络安全状况。
performing-web-cache-poisoning-attack
在授权安全测试期间,通过未纳入缓存键的头部和参数毒化缓存响应,利用 Web 缓存机制向其他用户投递恶意内容。
performing-web-cache-deception-attack
通过利用 CDN 缓存层与源服务器之间的路径规范化差异,执行 Web 缓存欺骗攻击,从而缓存并获取敏感的已认证内容。
performing-web-application-vulnerability-triage
使用 OWASP 风险评级方法论对 DAST/SAST 扫描器的 Web 应用程序漏洞发现进行分类,区分真阳性和假阳性,并确定修复优先级。
performing-web-application-scanning-with-nikto
Nikto 是一款开源 Web 服务器和 Web 应用程序扫描器,可针对超过 7,000 个潜在危险文件/程序进行测试,检查超过 1,250 个服务器的过期版本,并识别超过 270 个服务器的版本特定问题。
performing-web-application-penetration-test
遵循 OWASP Web 安全测试指南(WSTG)方法论,对 Web 应用程序执行系统化安全测试,识别认证、授权、 输入验证、会话管理和业务逻辑中的漏洞。测试人员以 Burp Suite 作为主要拦截代理,结合手动测试技术 发现自动化扫描器遗漏的缺陷。适用于 Web 应用渗透测试、OWASP 测试、应用安全评估或 Web 漏洞测试等请求场景。
performing-web-application-firewall-bypass
使用编码技术、HTTP 方法操控、参数污染和载荷混淆绕过 Web 应用防火墙保护,将 SQL 注入、XSS 及其他攻击载荷穿透 WAF 检测规则。
performing-vulnerability-scanning-with-nessus
使用 Tenable Nessus 执行认证和未认证漏洞扫描,识别网络基础设施、服务器和应用程序中的已知漏洞、 错误配置、默认凭据和缺失补丁。扫描器将发现与 CVE 数据库和 CVSS 评分关联,生成优先级修复指导。 适用于漏洞扫描、Nessus 评估、补丁合规检查或自动化漏洞检测等请求场景。