SOC 2认证90天工程手册：14项控制点逐条拆解

90天，8-12小时/周，这是工程师拿下SOC 2 Type II的真实时间成本。但多数团队实际花费150天——差距出在边界划定和证据基建。

本文是一份可执行的工程日历，不是合规概念科普。你需要AWS管理员权限、Terraform基础，以及一个已接入Vanta或Drata的代码仓库。

90天全景：五个阶段的工程投入

第1-2周：边界决策。这一步错，后面全错。

第3-6周：14项控制点必须全部上线运行。

第7-10周：搭建自动化的证据收集基础设施。

第11-14周：选定审计方并完成准备度评估。

第15-18周：进入观察期，补漏但不重启计时。

关键认知：观察期开始前，14项控制必须已稳定运行。不是"准备部署"，是"正在运行并产生日志"。

边界划定：最常见的60天陷阱

错误示范：把整个AWS组织全框进去——生产、预发、开发、沙箱、CI/CD一个不落。

后果：沙箱环境也得开GuardDuty、配CloudTrail、做分支保护。工程师的实验环境变成合规负担，证据收集周期被迫延长。

正确做法：只纳入存储、处理或传输客户数据的系统，并证明其他系统无法触及这些系统。

原文给了一个清晰的结构对比——

坏范围（过度包含）：整个AWS组织，五层全进。

好范围（精准界定）：SOC 2边界内只有生产及直接关联的数据处理层，其余通过架构隔离证明不可达。

这个决策影响后续所有控制点的实施工作量。

14项控制点：观察期第一天就必须生效

原文未展开14项控制的具体清单，但明确了它们的性质：不是政策文档，是运行中的技术控制。

包括访问管理、变更管理、系统监控、数据备份、漏洞管理等维度。每项都需要在观察期首日产生可审计的证据流。

证据收集基建的搭建窗口是第7-10周。原文建议使用Lambda函数自动化采集，Python 3.8+环境，对接合规自动化平台。

目标：让证据生成、存储、关联成为后台自动流程，而非人工周报。

审计方选择与准备度评估

第11-14周的核心任务是选定审计机构并完成预检。

准备度评估（Readiness Assessment）不是走过场——它是发现 gaps 的最后机会。在这个阶段修复问题，不计入90天周期；拖到观察期再改，时钟归零重来。

观察期本身（第15-18周）的工程投入降至2-4小时/周，主要用于监控控制有效性、响应异常、补充边缘案例的证据。

原文强调：观察期内可以补漏，但不能让控制失效。一次重大违规可能导致观察期延长或重启。

为什么这份手册值得工程师细读

SOC 2的痛点从来不是"不知道要做什么"，而是"不知道何时做、做到什么程度"。

这份指南的价值在于把合规要求翻译成工程排期：哪周写Terraform，哪周配Lambda，哪周冻结架构变更。对于需要向客户证明安全能力的B2B SaaS团队，这是可量化的执行路径。

前提条件清单已明确：AWS管理员权限、Terraform v1.0+、Python 3.8+、Vanta/Drata接入。缺任何一项，90天估算失效。