Guides SOC 2 Type II audit preparation: defines scope, designs/implements controls per AICPA TSC, collects evidence over 6-12 months, and executes audit phases.
npx claudepluginhub killvxk/cybersecurity-skills-zhThis skill uses the workspace's default tool permissions.
SOC 2 Type II 审计准备涉及在规定审计期(通常 6-12 个月)内,设计、实施并证明与 AICPA(美国注册会计师协会)信任服务标准(TSC,Trust Services Criteria)一致的控制措施的运营有效性。与 Type I 仅评估某一时间点的控制设计不同,Type II 评估控制措施在整个审查期间是否持续有效运营。
Guides SOC 2 Type II audit preparation: scopes controls, maps to AICPA TSC, implements security measures, collects evidence over 6-12 months, executes audit.
Automates SOC 2 Type II audit preparation with gap assessments against AICPA Trust Services Criteria (CC1-CC9), evidence collection from AWS, Azure, GCP, Okta, GitHub, Jira, control testing, remediation tracking, and monitoring.
Provides guidance on SOC 2 Type I/II audits, control mapping, evidence requirements, and preparation for Trust Service Categories including Security, Availability, Confidentiality, Processing Integrity, and Privacy.
Share bugs, ideas, or general feedback.
SOC 2 Type II 审计准备涉及在规定审计期(通常 6-12 个月)内,设计、实施并证明与 AICPA(美国注册会计师协会)信任服务标准(TSC,Trust Services Criteria)一致的控制措施的运营有效性。与 Type I 仅评估某一时间点的控制设计不同,Type II 评估控制措施在整个审查期间是否持续有效运营。
五个类别,其中安全(公共标准)为必选项:
| 标准 | 描述 | 是否必选 |
|---|---|---|
| 安全(CC) | 防护未经授权的访问 | 必选 |
| 可用性(A) | 系统可用于运营和使用 | 可选 |
| 处理完整性(PI) | 系统处理完整、有效、准确、及时、已授权 | 可选 |
| 机密性(C) | 被指定为机密的信息受到保护 | 可选 |
| 隐私(P) | 个人信息的收集、使用、保留、披露符合声明 | 可选 |
安全性基于 COSO 原则组织为 9 个系列:
| 系列 | 关注领域 | COSO 原则 |
|---|---|---|
| CC1 | 控制环境 | 诚信和道德价值观 |
| CC2 | 沟通与信息 | 控制所需的高质量信息 |
| CC3 | 风险评估 | 识别和评估风险 |
| CC4 | 监控活动 | 监控和评估控制 |
| CC5 | 控制活动 | 选择和发展控制 |
| CC6 | 逻辑和物理访问 | 将访问限制于授权用户 |
| CC7 | 系统操作 | 检测和响应系统异常 |
| CC8 | 变更管理 | 经授权、测试和批准的变更 |
| CC9 | 风险缓解 | 通过业务流程缓解风险 |
| 方面 | Type I | Type II |
|---|---|---|
| 范围 | 某时间点的控制设计 | 某期间内的控制有效性 |
| 审计期 | 单一日期 | 6-12 个月(通常 12 个月) |
| 证据 | 设计文档 | 整个审计期内的运营证据 |
| 保证级别 | 较低 | 较高 |
| 市场价值 | 初始基线 | 行业标准期望 |