soc2-audit-prep
작성자 alirezarezvanisoc2-audit-prep은 SOC 2 Type II 컴플라이언스 검토를 위한 스킬로, `/cs:soc2-audit-prep <scope>`를 통해 관찰 기간 기준의 여섯 가지 핵심 질문을 실행합니다. 현장 감사에 들어가기 전에 범위, TSC 선택, 누락된 통제 주기, 증거 공백, 인시던트, 감사 준비 상태를 압박 점검하는 데 활용할 수 있습니다.
이 스킬은 68/100점으로, 가벼운 SOC 2 Type II 준비 프롬프트로 디렉터리에 등록하기에 무난한 수준입니다. 디렉터리 사용자는 언제 호출해야 하는지, 어떤 종류의 압박 점검을 수행하는지 이해할 수 있습니다. 다만 템플릿, 참고 자료, 자동화가 포함된 완전한 감사 준비 패키지라기보다는 체크리스트형 스킬에 가깝다고 보는 것이 좋습니다.
- 실행 조건이 명확합니다. frontmatter와 본문에서 `/cs:soc2-audit-prep <scope>`라는 명확한 명령 패턴과 Type II 주기 전반에서 실행할 구체적인 시점을 제시합니다.
- 에이전트 활용도가 분명합니다. SOC 2 Type II 준비 상태를 여섯 가지 관찰 기간 핵심 질문으로 정리해, 일반적인 컴플라이언스 프롬프트보다 구조화되어 있습니다.
- 운영 관점에서 유용한 내용을 담고 있습니다. 발췌 내용은 TSC 범위 설정, 관찰 기간의 일관성, 누락된 통제 주기, 일반적인 Type II 준비 점검 항목을 다룹니다.
- 지원 파일, 참고 자료, 스크립트, 템플릿 또는 설치 안내가 없어, 사용자는 감사 가능한 준비 키트가 아니라 독립형 SKILL.md만 얻게 됩니다.
- 저장소 신호에는 실험/테스트 성격의 표시와 낮은 실무 산출물 범위가 포함되어 있으므로, 팀에서는 이를 완성된 SOC 2 준비 워크플로가 아닌 프롬프트/체크리스트 보조 도구로 보는 것이 좋습니다.
soc2-audit-prep skill 개요
soc2-audit-prep의 역할
soc2-audit-prep은 SOC 2 Type II 준비 상태를 점검하기 위한 컴플라이언스 리뷰 skill입니다. 관찰 기간에 초점을 맞춘 여섯 가지 질문으로 준비도를 압박 테스트하도록 설계되어 있습니다. /cs:soc2-audit-prep <scope> 형식으로 호출하는 것을 전제로 하며, 증적 수집 전, 감사인 현장 검토 전, 또는 범위 변경 전에 구조화된 챌린지 세션이 필요할 때 특히 유용합니다.
광범위한 “SOC 2 준비를 도와줘”식 프롬프트와 달리, 이 skill은 Type II 예외로 이어지기 쉬운 문제에 검토 범위를 좁힙니다. 예를 들어 불명확한 범위, 누락된 Trust Services Criteria 결정, 건너뛴 통제 주기, 취약한 증적, 관찰 기간 중 발생한 변경 사항 같은 이슈를 집중적으로 다룹니다.
가장 잘 맞는 사용자와 컴플라이언스 시점
가장 적합한 사용자는 SOC 2 Type II 감사를 준비하는 창업자, 보안 리드, GRC 담당자, 컴플라이언스 컨설턴트, 엔지니어링 매니저입니다. 특히 관찰 기간 시작 전, 6개월 차 체크포인트, 10개월 차 현장 테스트 전, 중대한 사고 이후, 또는 Availability, Confidentiality, Processing Integrity, Privacy 같은 새로운 TSC 카테고리를 추가할 때 잘 맞습니다.
정책 작성 보조 도구가 아니라 감사인처럼 집요하게 질문하는 검토가 필요하다면 Compliance Review 용도로 soc2-audit-prep을 사용하세요.
이 skill이 다른 점
핵심 차별점은 “강제로 드러내는 질문” 구조입니다. 이 skill은 처음부터 완전한 컴플라이언스 프로그램을 만들어 주려 하지 않습니다. 대신 Type II 관찰 기간 동안 실제로 문제가 되는 빈틈을 사용자가 드러내도록 압박합니다. 그래서 일반적인 통제 문구, 벤더 설문지, 보안 정책을 작성하는 용도보다는 준비 상태 검증에 더 적합합니다.
도입 시 고려할 점
리포지토리 경로는 compliance-os/skills/soc2-audit-prep이며, 제공되는 소스는 주로 SKILL.md에 집중되어 있습니다. 번들 스크립트, 레퍼런스 팩, 보조 리소스는 포함되어 있지 않으므로, 가치는 프롬프트 로직 자체에서 나옵니다. 팀은 자체 통제 매트릭스, 증적 인벤토리, 범위 설명서, 감사 일정, 감사인 요청 목록을 준비해 가져와야 합니다.
soc2-audit-prep skill 사용 방법
soc2-audit-prep 설치와 소스 검토
GitHub skill 리포지토리에서 skill을 설치합니다.
npx skills add alirezarezvani/claude-skills --skill soc2-audit-prep
그다음 먼저 소스 파일을 읽어보세요.
compliance-os/skills/soc2-audit-prep/SKILL.md
이 skill에는 함께 제공되는 rules/, resources/, references/, scripts/ 폴더가 없습니다. 따라서 자동화된 SOC 2 증적 스캐너를 기대해서는 안 됩니다. 자체 감사 자료를 AI assistant에 넣고 실행하는 구조화된 리뷰 프롬프트로 다루는 것이 맞습니다.
결과 품질을 실질적으로 높이는 입력값
약한 호출 예시는 다음과 같습니다.
/cs:soc2-audit-prep our SaaS app
더 좋은 호출은 모델이 의미 있게 반문하고 검토할 수 있도록 충분한 감사 맥락을 제공합니다.
/cs:soc2-audit-prep B2B SaaS platform pursuing SOC 2 Type II, Security and Availability in scope, 12-month observation period starting Feb 1, quarterly access reviews, monthly vulnerability scans, AWS production environment, Stripe and customer support tools in scope, recent SSO rollout in month 4, auditor fieldwork expected in month 10
가능하다면 다음 정보를 포함하세요.
- 시스템 경계와 제외된 시스템
- 범위에 포함된 TSC 카테고리
- 관찰 기간 날짜
- 통제 주기: monthly, quarterly, annual, continuous
- 증적 담당자와 증적 위치
- 알려진 사고, 마이그레이션, 도구 변경
- 감사인의 우려 사항 또는 고객 약속
실무에서 쓰기 좋은 soc2-audit-prep 워크플로
처음부터 잘 다듬어진 보고서를 요청하지 말고, 준비 상태를 캐묻는 인터뷰를 요청하세요. 먼저 skill이 약점을 찾아내게 한 뒤, 그 결과를 액션 리스트로 바꾸도록 요청하는 편이 좋습니다.
실무 워크플로는 다음과 같습니다.
- 감사 일정과 TSC 범위를 포함해
/cs:soc2-audit-prep <scope>를 실행합니다. - 여섯 가지 질문에 실제 통제와 증적 정보를 바탕으로 답합니다.
- assistant에게 빈틈을 likely exception, auditor follow-up, documentation cleanup으로 분류해 달라고 요청합니다.
- 결과를 담당자, 기한, 증적 요청으로 전환합니다.
- 개선 조치 후 또는 현장 검토 전에 skill을 다시 실행합니다.
이 순서를 따르면 Type II 감사가 실패하는 실제 이유에 더 가깝게 검토할 수 있습니다. 문제는 정책이 존재했느냐가 아니라, 관찰 기간 내내 운영이 일관되게 이루어졌느냐입니다.
더 날카로운 리뷰를 위한 프롬프트 패턴
더 정밀한 결과가 필요할 때는 다음 패턴을 사용하세요.
Act as a SOC 2 Type II readiness reviewer using soc2-audit-prep. Challenge our scope, TSC category choices, control frequency, evidence completeness, skipped cycles, incidents, and changes during the observation period. Do not write generic policy text. Ask follow-up questions where evidence is missing, and produce a prioritized remediation list.
이렇게 프레이밍하면 assistant가 일반적인 SOC 2 설명으로 흐르지 않고, 감사 방어 가능성에 초점을 유지하게 됩니다.
soc2-audit-prep skill FAQ
soc2-audit-prep은 완전한 SOC 2 프로그램 빌더인가요?
아닙니다. soc2-audit-prep은 준비 상태와 컴플라이언스 리뷰를 위한 skill이지, 전체 통제 라이브러리, 정책 모음, 증적 자동화 도구, 감사인 대체재가 아닙니다. 이미 존재하는 SOC 2 계획이나 진행 중인 Type II 사이클을 검증하는 용도에 가장 적합합니다.
일반적인 SOC 2 프롬프트보다 나은 점은 무엇인가요?
일반적인 프롬프트는 넓은 체크리스트를 생성하는 데 그칠 수 있습니다. soc2-audit-prep skill은 관찰 기간, 범위, TSC 카테고리, 건너뛴 통제 주기에 초점을 맞추기 때문에 Type II 준비도 점검에 더 좁고 실용적으로 작동합니다. 이 구조는 감사 예외를 더 일찍 드러내는 데 도움이 됩니다.
초보자도 이 skill을 사용할 수 있나요?
네. 다만 초보자라도 기본적인 SOC 2 맥락은 준비해야 합니다. 어떤 시스템이 감사 대상인지, 어떤 Trust Services Criteria가 범위에 포함되는지, 관찰 기간이 언제 시작되고 끝나는지, 어떤 통제가 월간 또는 분기별로 운영되는지 정도는 필요합니다. 이 맥락이 없으면 결과는 높은 수준의 일반론에 머물게 됩니다.
언제 이 skill을 사용하지 말아야 하나요?
AICPA 기준 해석, 법률 자문, 최종 감사 결론, 증적 인증을 위한 유일한 근거로 사용해서는 안 됩니다. 또한 시스템 경계를 아직 정의하지 않았다면 너무 이른 시점에 사용하는 것도 피하는 편이 좋습니다. 범위가 모호하면 리뷰 전체가 그 문제에 압도될 수 있습니다.
soc2-audit-prep skill 개선 방법
실제 감사 산출물로 soc2-audit-prep 개선하기
soc2-audit-prep 결과를 가장 빠르게 개선하는 방법은 희망 사항이 아니라 실제 산출물을 제공하는 것입니다. 통제 매트릭스, 시스템 설명서, TSC 범위, 증적 트래커, 사고 로그, 접근 검토 캘린더, 취약점 스캔 일정, 주요 변경 이력을 붙여넣거나 요약하세요.
더 좋은 입력 예시는 다음과 같습니다.
- “Quarterly access review for Q2 was completed 19 days late”
- “We changed ticketing systems in month 5 and lost historical approval links”
- “Availability is in scope because contracts promise 99.9% uptime”
이런 세부 정보가 있어야 skill이 SOC 2 기본 개념을 반복하는 대신 Type II 리스크를 식별할 수 있습니다.
흔한 실패 패턴 살피기
가장 흔한 실패 패턴은 준비를 운영 효과성이 아니라 문서 완성도로 착각하는 것입니다. Type II에서는 첫날부터 정책이 있었다는 사실만으로는 건너뛴 분기 통제, 누락된 증적, 문서화되지 않은 프로덕션 변경을 해결할 수 없습니다.
명시적으로 드러내야 할 다른 실패 패턴은 다음과 같습니다.
- 관찰 기간 중간에 추가된 신규 제품 또는 지역
- 범위에서 빠진 계약자 또는 지원 도구
- 사후 분석이나 고객 커뮤니케이션 기록이 없는 사고
- 담당자가 불명확한 통제
- 감사인이 접근하거나 검증할 수 없는 시스템에 저장된 증적
질문에서 개선 조치로 반복하기
첫 실행 후에는 감사 언어로 개선 계획을 요청하세요.
Convert the soc2-audit-prep findings into a remediation table with issue, audit risk, likely evidence needed, owner, deadline, and whether it affects the current observation period.
그다음 두 번째 점검을 실행합니다.
Re-check only the high-risk items and tell me which are likely exceptions versus items that can be remediated before fieldwork.
이렇게 하면 skill을 일회성 체크리스트가 아니라 감사 준비도 루프로 활용할 수 있습니다.
팀 환경에 맞게 skill 확장하기
팀이 SOC 2에 크게 의존한다면, skill 옆에 자체 로컬 메모를 추가하는 것을 고려하세요. 예를 들어 control IDs, auditor preferences, evidence naming conventions, in-scope systems, standard screenshots or exports 같은 정보를 정리해둘 수 있습니다. upstream soc2-audit-prep skill은 의도적으로 간결하게 만들어져 있으므로, 로컬 맥락을 더해야 감사인이 같은 질문을 던지기 전에 구체적이고 방어 가능하며 실용적인 리뷰가 됩니다.
