performing-soc-2-type-ii-audit-preparation

SOC 2 Type II 审计准备涉及在规定审计期间(通常为 6-12 个月)设计、实施并证明与 AICPA 信任服务标准(Trust Services Criteria,TSC)对齐的控制措施的运营有效性

9 stars

Best use case

performing-soc-2-type-ii-audit-preparation is best used when you need a repeatable AI agent workflow instead of a one-off prompt.

SOC 2 Type II 审计准备涉及在规定审计期间(通常为 6-12 个月)设计、实施并证明与 AICPA 信任服务标准(Trust Services Criteria,TSC)对齐的控制措施的运营有效性

Teams using performing-soc-2-type-ii-audit-preparation should expect a more consistent output, faster repeated execution, less prompt rewriting.

When to use this skill

  • You want a reusable workflow that can be run more than once with consistent structure.

When not to use this skill

  • You only need a quick one-off answer and do not need a reusable workflow.
  • You cannot install or maintain the underlying files, dependencies, or repository context.

Installation

Claude Code / Cursor / Codex

$curl -o ~/.claude/skills/performing-soc2-type2-audit-preparation/SKILL.md --create-dirs "https://raw.githubusercontent.com/killvxk/cybersecurity-skills-zh/main/skills/performing-soc2-type2-audit-preparation/SKILL.md"

Manual Installation

  1. Download SKILL.md from GitHub
  2. Place it in .claude/skills/performing-soc2-type2-audit-preparation/SKILL.md inside your project
  3. Restart your AI agent — it will auto-discover the skill

How performing-soc-2-type-ii-audit-preparation Compares

Feature / Agentperforming-soc-2-type-ii-audit-preparationStandard Approach
Platform SupportNot specifiedLimited / Varies
Context Awareness High Baseline
Installation ComplexityUnknownN/A

Frequently Asked Questions

What does this skill do?

SOC 2 Type II 审计准备涉及在规定审计期间(通常为 6-12 个月)设计、实施并证明与 AICPA 信任服务标准(Trust Services Criteria,TSC)对齐的控制措施的运营有效性

Where can I find the source code?

You can find the source code on GitHub using the link provided at the top of the page.

SKILL.md Source

# 执行 SOC 2 Type II 审计准备

## 概述

SOC 2 Type II 审计准备涉及在规定审计期间(通常为 6-12 个月)设计、实施并证明与 AICPA 信任服务标准(Trust Services Criteria,TSC)对齐的控制措施的运营有效性。与仅在某一时间点评估控制设计的 Type I 不同,Type II 评估的是控制措施在整个审查期间是否持续有效运作。

## 前置条件

- 了解 AICPA 信任服务标准(2017 年版,2022 年更新)
- 熟悉内部控制框架(COSO 2013)
- 熟悉组织 IT 基础设施和数据流
- 能够使用 GRC(治理、风险、合规)工具

## 核心概念

### 信任服务标准(TSC)

共五个类别,其中安全性(通用标准)为必选:

| 标准 | 描述 | 是否必选 |
|----------|-------------|----------|
| **安全性(CC)** | 防止未授权访问 | 必选 |
| **可用性(A)** | 系统可供操作和使用 | 可选 |
| **处理完整性(PI)** | 系统处理完整、有效、准确、及时、已授权 | 可选 |
| **保密性(C)** | 保护被标记为保密的信息 | 可选 |
| **隐私性(P)** | 按通知要求收集、使用、保留、披露个人信息 | 可选 |

### 通用标准(CC 系列)

安全性按 COSO 原则组织为 9 个系列:

| 系列 | 关注领域 | COSO 原则 |
|--------|-----------|----------------|
| CC1 | 控制环境 | 诚信与道德价值观 |
| CC2 | 沟通与信息 | 支持控制的高质量信息 |
| CC3 | 风险评估 | 识别和评估风险 |
| CC4 | 监控活动 | 监控和评估控制措施 |
| CC5 | 控制活动 | 选择和发展控制措施 |
| CC6 | 逻辑和物理访问 | 将访问限制在授权用户 |
| CC7 | 系统运营 | 检测和响应系统异常 |
| CC8 | 变更管理 | 已授权、已测试、已批准的变更 |
| CC9 | 风险缓解 | 通过业务流程缓解风险 |

### Type I 与 Type II 对比

| 方面 | Type I | Type II |
|--------|--------|---------|
| 范围 | 某一时间点的控制设计 | 一段时间内控制的有效性 |
| 审计期间 | 单一日期 | 6-12 个月(通常为 12 个月) |
| 证据 | 设计文档 | 整个期间的运营证据 |
| 保证级别 | 较低 | 较高 |
| 市场价值 | 初始基线 | 行业标准期望 |

## 实施步骤

### 第一阶段:范围界定与准备就绪(第 1-4 周)

1. 确定纳入哪些 TSC 类别(安全性为必选,其他根据客户需求确定)
2. 定义系统边界和系统描述组成部分:
   - 基础设施(服务器、网络、云服务)
   - 软件(应用程序、操作系统)
   - 人员(角色、职责)
   - 流程(自动化和手动流程)
   - 数据(数据流、数据分类)
3. 选择审计机构(具有 SOC 经验的 CPA 事务所)
4. 定义审计窗口(开始和结束日期)
5. 对照选定标准进行准备就绪评估

### 第二阶段:控制设计与实施(第 5-16 周)

1. 将组织控制措施映射到 TSC 标准
2. 为每个适用标准设计控制措施:
   - **CC6.1**:逻辑访问安全(SSO、MFA、RBAC)
   - **CC6.2**:系统凭据管理
   - **CC6.3**:离职后访问权限移除
   - **CC7.1**:入侵检测与监控
   - **CC7.2**:安全事件响应
   - **CC8.1**:变更管理流程
3. 实施技术控制措施:
   - 身份提供商(Okta、Azure AD)
   - 终端检测与响应(EDR)
   - 用于日志聚合的 SIEM
   - 漏洞扫描
   - 传输中和静态数据加密
4. 实施管理控制措施:
   - 安全策略和程序
   - 背景调查流程
   - 安全意识培训
   - 供应商管理计划
5. 记录所有控制措施,包含:
   - 控制目标
   - 控制活动描述
   - 频率(持续、每日、每周、每季度、每年)
   - 控制负责人
   - 证据类型(截图、报告、工单、日志)

### 第三阶段:证据收集期(审计窗口)

1. 在整个审计期间持续运营控制措施
2. 收集并整理证据:
   - 访问权限审查完成记录(每季度)
   - 变更管理工单和审批记录
   - 事件响应日志
   - 漏洞扫描报告
   - 渗透测试结果
   - 培训完成记录
   - 备份验证日志
   - 系统可用性报告
3. 按清晰的命名规范维护证据库
4. 跟踪控制失效和例外情况
5. 对期间发现的任何控制缺口实施整改

### 第四阶段:审计前准备(审计前数周)

1. 执行内部控制测试(穿行测试)
2. 准备系统描述文件
3. 按 TSC 标准组织证据
4. 向控制负责人介绍审计流程
5. 准备管理层声明函
6. 识别并整改任何最后时刻发现的缺口

### 第五阶段:审计执行

1. 审计师执行询问、观察、检查和重新执行
2. 提供所需证据和访问权限
3. 回应审计师的问题和信息请求
4. 处理测试过程中发现的任何例外情况
5. 审查报告草稿的事实准确性

### 第六阶段:报告与整改

1. 接收 SOC 2 Type II 报告
2. 处理任何保留意见或控制例外
3. 向客户分发报告(通常须签署保密协议)
4. 制定已识别例外的整改计划
5. 开始准备下一个审计周期

## 关键交付物

- 系统描述文件
- 控制矩阵(TSC 映射)
- 风险评估文档
- 证据库
- 管理层声明函
- SOC 2 Type II 报告(第 I-V 节)
- 例外整改计划

## 常见陷阱

- 证据收集启动过晚——需要覆盖完整审计期间
- 控制运营不一致(如遗漏季度访问审查)
- 系统描述详细程度不足
- 未将子服务组织(IaaS 提供商)纳入范围
- 未能记录互补用户实体控制措施(CUEC)
- 手动控制措施缺乏执行的书面证据

## 参考资料

- AICPA 信任服务标准 2017(2022 年更新):https://www.aicpa-cima.com/topic/audit-assurance/audit-and-assurance-greater-than-soc-2
- AICPA SOC 2 报告指南
- COSO 内部控制框架 2013
- Secureframe SOC 2 信任服务标准指南:https://secureframe.com/hub/soc-2/trust-services-criteria

Related Skills

performing-yara-rule-development-for-detection

9
from killvxk/cybersecurity-skills-zh

通过识别可执行文件中的唯一字节模式、字符串和行为指标,开发精准的 YARA 恶意软件检测规则,同时将误报率降至最低。

performing-wireless-security-assessment-with-kismet

9
from killvxk/cybersecurity-skills-zh

使用 Kismet 通过被动射频监控进行无线网络安全评估,检测流氓接入点(Rogue AP)、隐藏 SSID、弱加密和未授权客户端。

performing-wireless-network-penetration-test

9
from killvxk/cybersecurity-skills-zh

执行无线网络渗透测试,通过捕获握手包、破解 WPA2/WPA3 密钥、检测流氓接入点以及使用 Aircrack-ng 和相关工具测试无线网络分段,评估 WiFi 安全性。

performing-windows-artifact-analysis-with-eric-zimmerman-tools

9
from killvxk/cybersecurity-skills-zh

使用 Eric Zimmerman 的开源 EZ Tools 套件(包括 KAPE、MFTECmd、PECmd、LECmd、JLECmd 和 Timeline Explorer)执行全面的 Windows 取证制品分析,解析注册表 hive、预取文件、事件日志和文件系统元数据。

performing-wifi-password-cracking-with-aircrack

9
from killvxk/cybersecurity-skills-zh

在授权无线安全评估中捕获 WPA/WPA2 握手包,并使用 aircrack-ng、hashcat 和字典攻击进行离线密码破解, 以评估密码短语强度和无线网络安全状况。

performing-web-cache-poisoning-attack

9
from killvxk/cybersecurity-skills-zh

在授权安全测试期间,通过未纳入缓存键的头部和参数毒化缓存响应,利用 Web 缓存机制向其他用户投递恶意内容。

performing-web-cache-deception-attack

9
from killvxk/cybersecurity-skills-zh

通过利用 CDN 缓存层与源服务器之间的路径规范化差异,执行 Web 缓存欺骗攻击,从而缓存并获取敏感的已认证内容。

performing-web-application-vulnerability-triage

9
from killvxk/cybersecurity-skills-zh

使用 OWASP 风险评级方法论对 DAST/SAST 扫描器的 Web 应用程序漏洞发现进行分类,区分真阳性和假阳性,并确定修复优先级。

performing-web-application-scanning-with-nikto

9
from killvxk/cybersecurity-skills-zh

Nikto 是一款开源 Web 服务器和 Web 应用程序扫描器,可针对超过 7,000 个潜在危险文件/程序进行测试,检查超过 1,250 个服务器的过期版本,并识别超过 270 个服务器的版本特定问题。

performing-web-application-penetration-test

9
from killvxk/cybersecurity-skills-zh

遵循 OWASP Web 安全测试指南(WSTG)方法论,对 Web 应用程序执行系统化安全测试,识别认证、授权、 输入验证、会话管理和业务逻辑中的漏洞。测试人员以 Burp Suite 作为主要拦截代理,结合手动测试技术 发现自动化扫描器遗漏的缺陷。适用于 Web 应用渗透测试、OWASP 测试、应用安全评估或 Web 漏洞测试等请求场景。

performing-web-application-firewall-bypass

9
from killvxk/cybersecurity-skills-zh

使用编码技术、HTTP 方法操控、参数污染和载荷混淆绕过 Web 应用防火墙保护,将 SQL 注入、XSS 及其他攻击载荷穿透 WAF 检测规则。

performing-vulnerability-scanning-with-nessus

9
from killvxk/cybersecurity-skills-zh

使用 Tenable Nessus 执行认证和未认证漏洞扫描,识别网络基础设施、服务器和应用程序中的已知漏洞、 错误配置、默认凭据和缺失补丁。扫描器将发现与 CVE 数据库和 CVSS 评分关联,生成优先级修复指导。 适用于漏洞扫描、Nessus 评估、补丁合规检查或自动化漏洞检测等请求场景。