📋 Auditores Internos e Externos
Visão Geral
Auditores validam a aplicação efetiva das práticas descritas no SbD-ToE.
Verificam classificações de risco, rastreabilidade, evidência de aplicação, e alinhamento com requisitos regulatórios em todos os capítulos.
Responsabilidades Principais
- Validam a aplicação efetiva das práticas prescritas
- Avaliam classificações de risco, requisitos, rastreabilidade e evidências
- Produzem relatórios independentes e recomendações de melhoria
- Comprovam conformidade perante autoridades
Contexto Organizacional
São instrumentos essenciais para comprovar conformidade perante autoridades de supervisão, tal como requerido em NIS2, DORA, GDPR e ISO 27001.
Enquadramento Regulatório
São instrumentos formais para comprovar cumprimento perante autoridades:
- NIS2: Auditorias de segurança e conformidade
- DORA: Testes de resiliência e auditorias de terceiros
- GDPR: Auditorias de proteção de dados
- ISO 27001/27002: Auditorias de SGSI
Atividades por Capítulo
Transversal - Todos os Capítulos
Validar evidência de aplicação de práticas, verificar rastreabilidade de decisões (ADR, exceções, aceitações de risco), confirmar alinhamento com requisitos regulatórios (NIS2, DORA, GDPR, SSDF, ISO 27001).
Requisitos associados:
- US-12: Documentação de conformidade regulatória — GRC documenta, Auditores validam
Cap. 01 - Classificação de Aplicações
Verificar classificações de risco e sua adequação ao contexto técnico e negócio. Validar KPIs de governação.
Requisitos associados:
- US-08: KPIs de governação da classificação — GRC consolida, Auditores validam
- US-09: Políticas organizacionais formais — Gestão publica, Auditores validam aplicação
Cap. 02 - Requisitos de Segurança
Validar implementação de requisitos por nível (L1/L2/L3), verificar rastreabilidade requisitos → controlos → evidência.
Cap. 07 - CI/CD Seguro
Validar rastreabilidade commit → pipeline → release, verificar gestão de exceções.
Requisitos associados:
- US-09: Rastreabilidade ponta-a-ponta — GRC rastreia, Auditores validam
- US-10: Gestão de exceções — GRC gere, Auditores validam
Cap. 08 - IaC e Infraestrutura
Validar rastreabilidade ficheiro → recurso → ambiente, verificar janelas de mudança e aprovações, validar exceções formais.
Requisitos associados:
- US-07: Rastreabilidade ficheiro → recurso → ambiente — GRC documenta, Auditores validam
- US-13: Janela de mudança e aprovações — GRC define, Auditores validam
- US-14: Exceções formais em IaC — GRC/AppSec gerem, Auditores validam
Cap. 14 - Governança e Contratação
Auditar documentação de exceções, verificar aprovações formais, validar conformidade contratual com fornecedores, verificar rastreabilidade completa.
Requisitos associados:
- US-06: Repositório de conformidade — AppSec/Dev Lead mantêm, Auditores validam
- US-07: Validações periódicas de conformidade — AppSec/GRC executam, Auditores validam
- US-10: Checklist centralizado de conformidade — AppSec/Dev Lead mantêm, Auditores usam
Referências aos Capítulos
Auditores utilizam todos os capítulos como fonte de evidência:
- Cap. 01 - Classificação de Aplicações
- Cap. 02 - Requisitos de Segurança
- Cap. 03 - Threat Modeling
- Cap. 04 - Arquitetura Segura
- Cap. 05 - Dependências e SBOM
- Cap. 06 - Desenvolvimento Seguro
- Cap. 07 - CI/CD Seguro
- Cap. 08 - IaC e Infraestrutura
- Cap. 09 - Containers e Imagens
- Cap. 10 - Testes de Segurança
- Cap. 11 - Deploy Seguro
- Cap. 12 - Monitorização e Operações
- Cap. 13 - Formação e Onboarding
- Cap. 14 - Governança e Contratação