SOC2合规自动化工具Skill soc2-compliance-automator

---

名称: soc2合规自动化工具 描述: 用于SOC 2信任服务标准合规的自动化工具，涵盖证据收集、控制映射和审计准备 允许使用的工具:

• Bash
• 读取
• 写入
• Glob
• Grep
• WebFetch

---

SOC 2合规自动化工具技能

目的

自动化SOC 2信任服务标准（TSC）合规活动，包括控制映射、证据收集、审计准备和持续合规监控。

能力

控制映射

• 将组织控制映射到SOC 2 TSC要求
• 涵盖所有五个信任服务类别：
  • 安全性（通用标准）
  • 可用性
  • 处理完整性
  • 保密性
  • 隐私性
• 生成包含证据要求的控制矩阵
• 识别控制差距和覆盖范围

证据收集

• 从云服务提供商自动收集证据
• 收集访问控制配置（IAM、RBAC）
• 捕获安全配置和策略
• 记录变更管理流程
• 归档审计日志和监控数据
• 手动控制的截图自动化

审计准备

• 生成类型I和类型II审计包
• 准备管理层声明文件
• 创建系统描述文件
• 按控制目标组织证据
• 生成审计就绪报告

控制有效性跟踪

• 监控控制实施状态
• 跟踪控制测试结果
• 记录控制例外情况
• 管理补救活动
• 计算合规分数

持续合规

• 监控控制漂移和变更
• 对合规偏差发出警报
• 跟踪证据新鲜度
• 生成合规仪表板
• 自动化定期控制测试

信任服务类别

CC - 通用标准（安全性）

• CC1：控制环境
• CC2：沟通和信息
• CC3：风险评估
• CC4：监控活动
• CC5：控制活动
• CC6：逻辑和物理访问控制
• CC7：系统操作
• CC8：变更管理
• CC9：风险缓解

A - 可用性

• 系统可用性承诺
• 灾难恢复和业务连续性
• 容量规划和监控

PI - 处理完整性

• 数据处理准确性
• 完整性和及时性
• 错误处理程序

C - 保密性

• 数据分类
• 加密要求
• 访问限制

P - 隐私性

• 隐私通知和同意
• 数据主体权利
• 数据保留和处置

集成

• Vanta：自动化安全和合规
• Drata：持续合规自动化
• Secureframe：安全合规平台
• AWS/Azure/GCP API：云配置证据
• 身份提供商：访问控制证据
• SIEM系统：日志和监控证据

目标流程

• SOC 2合规审计准备
• 持续合规监控
• 安全控制评估
• 审计就绪审查

输入模式

{
  "type": "object",
  "properties": {
    "auditType": {
      "type": "string",
      "enum": ["Type1", "Type2"],
      "description": "SOC 2审计类型"
    },
    "trustCategories": {
      "type": "array",
      "items": {
        "type": "string",
        "enum": ["Security", "Availability", "ProcessingIntegrity", "Confidentiality", "Privacy"]
      }
    },
    "auditPeriod": {
      "type": "object",
      "properties": {
        "startDate": { "type": "string", "format": "date" },
        "endDate": { "type": "string", "format": "date" }
      }
    },
    "cloudProviders": {
      "type": "array",
      "items": {
        "type": "string",
        "enum": ["AWS", "Azure", "GCP"]
      }
    },
    "controlMatrix": {
      "type": "string",
      "description": "现有控制矩阵的路径"
    },
    "evidenceBasePath": {
      "type": "string",
      "description": "证据存储的基础路径"
    }
  },
  "required": ["auditType", "trustCategories"]
}

输出模式

{
  "type": "object",
  "properties": {
    "assessmentId": {
      "type": "string"
    },
    "auditType": {
      "type": "string"
    },
    "assessmentDate": {
      "type": "string",
      "format": "date-time"
    },
    "trustCategories": {
      "type": "array"
    },
    "controlSummary": {
      "type": "object",
      "properties": {
        "totalControls": { "type": "integer" },
        "implemented": { "type": "integer" },
        "partiallyImplemented": { "type": "integer" },
        "notImplemented": { "type": "integer" },
        "notApplicable": { "type": "integer" }
      }
    },
    "evidenceStatus": {
      "type": "object",
      "properties": {
        "collected": { "type": "integer" },
        "pending": { "type": "integer" },
        "missing": { "type": "integer" }
      }
    },
    "gapAnalysis": {
      "type": "array",
      "items": {
        "type": "object",
        "properties": {
          "controlId": { "type": "string" },
          "gap": { "type": "string" },
          "remediation": { "type": "string" },
          "priority": { "type": "string" }
        }
      }
    },
    "auditPackage": {
      "type": "object",
      "properties": {
        "controlMatrix": { "type": "string" },
        "evidenceFolder": { "type": "string" },
        "systemDescription": { "type": "string" },
        "managementAssertion": { "type": "string" }
      }
    },
    "complianceScore": {
      "type": "number"
    }
  }
}

使用示例

技能: {
  名称: 'soc2合规自动化工具',
  上下文: {
    auditType: 'Type2',
    trustCategories: ['Security', 'Availability', 'Confidentiality'],
    auditPeriod: {
      startDate: '2024-01-01',
      endDate: '2024-12-31'
    },
    cloudProviders: ['AWS', 'Azure']
  }
}