Guides SOC 2 Type II audit preparation: scopes controls, maps to AICPA TSC, implements security measures, collects evidence over 6-12 months, executes audit.
npx claudepluginhub killvxk/cybersecurity-skills-zhThis skill uses the workspace's default tool permissions.
SOC 2 Type II 审计准备涉及在规定审计期间(通常为 6-12 个月)设计、实施并证明与 AICPA 信任服务标准(Trust Services Criteria,TSC)对齐的控制措施的运营有效性。与仅在某一时间点评估控制设计的 Type I 不同,Type II 评估的是控制措施在整个审查期间是否持续有效运作。
Guides SOC 2 Type II audit preparation: defines scope, designs/implements controls per AICPA TSC, collects evidence over 6-12 months, and executes audit phases.
Provides guidance on SOC 2 Type I/II audits, control mapping, evidence requirements, and preparation for Trust Service Categories including Security, Availability, Confidentiality, Processing Integrity, and Privacy.
Automates SOC 2 Type II audit preparation with gap assessments against AICPA Trust Services Criteria (CC1-CC9), evidence collection from AWS, Azure, GCP, Okta, GitHub, Jira, control testing, remediation tracking, and monitoring.
Share bugs, ideas, or general feedback.
SOC 2 Type II 审计准备涉及在规定审计期间(通常为 6-12 个月)设计、实施并证明与 AICPA 信任服务标准(Trust Services Criteria,TSC)对齐的控制措施的运营有效性。与仅在某一时间点评估控制设计的 Type I 不同,Type II 评估的是控制措施在整个审查期间是否持续有效运作。
共五个类别,其中安全性(通用标准)为必选:
| 标准 | 描述 | 是否必选 |
|---|---|---|
| 安全性(CC) | 防止未授权访问 | 必选 |
| 可用性(A) | 系统可供操作和使用 | 可选 |
| 处理完整性(PI) | 系统处理完整、有效、准确、及时、已授权 | 可选 |
| 保密性(C) | 保护被标记为保密的信息 | 可选 |
| 隐私性(P) | 按通知要求收集、使用、保留、披露个人信息 | 可选 |
安全性按 COSO 原则组织为 9 个系列:
| 系列 | 关注领域 | COSO 原则 |
|---|---|---|
| CC1 | 控制环境 | 诚信与道德价值观 |
| CC2 | 沟通与信息 | 支持控制的高质量信息 |
| CC3 | 风险评估 | 识别和评估风险 |
| CC4 | 监控活动 | 监控和评估控制措施 |
| CC5 | 控制活动 | 选择和发展控制措施 |
| CC6 | 逻辑和物理访问 | 将访问限制在授权用户 |
| CC7 | 系统运营 | 检测和响应系统异常 |
| CC8 | 变更管理 | 已授权、已测试、已批准的变更 |
| CC9 | 风险缓解 | 通过业务流程缓解风险 |
| 方面 | Type I | Type II |
|---|---|---|
| 范围 | 某一时间点的控制设计 | 一段时间内控制的有效性 |
| 审计期间 | 单一日期 | 6-12 个月(通常为 12 个月) |
| 证据 | 设计文档 | 整个期间的运营证据 |
| 保证级别 | 较低 | 较高 |
| 市场价值 | 初始基线 | 行业标准期望 |