✅ Checklist de Revisão - Classificação da Criticidade Aplicacional
Este checklist aplica-se a todas as aplicações classificadas segundo os critérios definidos no Capítulo 01 - Classificação da Criticidade Aplicacional.
Serve como instrumento de verificação periódica, auditoria interna e KPI operativo de maturidade, permitindo confirmar se:
- A classificação está atualizada e justificada;
- Foram aplicados os controlos mínimos correspondentes;
- Existem evidências rastreáveis que sustentem as decisões de risco.
🗓️ Recomenda-se revisão no mínimo a cada 6 meses, ou sempre que existirem alterações relevantes (funcionalidade, dados, exposição).
📋 Itens de Verificação
| Item | Verificado? |
|---|---|
| Existe uma classificação de risco documentada para a aplicação? | ☐ |
| A classificação atual cobre os três eixos (exposição, dados, impacto)? | ☐ |
| A classificação foi revista desde a última release ou sprint? | ☐ |
| Ocorreram alterações que justificam reavaliação (novas features, APIs, tipo de dados)? | ☐ |
| A classificação foi atualizada após essas alterações? | ☐ |
| Existem evidências formais da classificação (ficheiro, wiki, formulário, etc.)? | ☐ |
| A revisão foi aprovada pelos responsáveis (segurança, arquitetura, produto)? | ☐ |
| O nível de risco está alinhado com os controlos mínimos exigidos e aplicados? | ☐ |
| Existem justificações formais aprovadas para controlos não aplicados (exceções)? | ☐ |
| A decisão de risco está integrada num repositório rastreável (ferramenta, wiki, log de decisão)? | ☐ |
🔄 Notas Finais
- Este checklist pode ser usado como formulário digital ou template de revisão, e integrado em pipelines, dashboards ou ferramentas de backlog.
- A validação completa permite afirmar conformidade com o Capítulo 01 - sendo uma evidência objetiva de maturidade e controlo de segurança no modelo SbD-ToE.
- Deve ser arquivado como registo auditável e associado ao ciclo de release correspondente.