📑 GRC / Compliance
Visão Geral
GRC assegura que práticas internas estão alinhadas com normas e regulamentos externos.
Coordena auditorias, mantém documentação de risco residual, gere exceções e fornece prova documental exigida por NIS2, DORA, GDPR.
Responsabilidades Principais
- Asseguram rastreabilidade com normas (SSDF, ISO) e regulamentos (NIS2, DORA, GDPR, AI Act)
- Monitorizam exceções e garantem documentação de risco residual
- Coordenam auditorias internas e externas
- Ligam requisitos técnicos a obrigações legais
Contexto Organizacional
É o garante da prova documental exigida por NIS2 (auditoria, reporte) e DORA (resiliência operacional e gestão de terceiros). Sem GRC, não há demonstração de conformidade.
Enquadramento Regulatório
Fornece prova documental exigida em:
- NIS2: Auditorias, reporting, rastreabilidade
- DORA: Resiliência, governação de terceiros, testes
- GDPR: Demonstração de conformidade (accountability)
Atividades por Capítulo
Cap. 01 - Classificação de Aplicações
Registar risco residual após aplicar controlos, registar aceitações com TTL explícito, consolidar KPIs mensais/trimestrais sobre classificação e exceções.
User Stories:
- US-04: Registro de risco residual — Fundamentar decisões de aceitação
- US-05: Aceitações com TTL e re-aprovação — Evitar exceções permanentes
- US-08: KPIs de governação da classificação — Demonstrar maturidade
Cap. 02 - Requisitos de Segurança
Publicar política de aplicação e providenciar formação (com Gestão/CISO).
User Stories:
- US-07: Política de aplicação de requisitos — Procedimentos claros (com Gestão Executiva/CISO)
Cap. 07 - CI/CD Seguro
Rastrear commit → pipeline → release para suportar auditorias. Garantir exceções registadas, aprovadas e temporárias.
User Stories:
- US-09: Rastreabilidade ponta-a-ponta — Suportar auditorias
- US-10: Gestão de exceções — Evitar dívida técnica
Cap. 08 - IaC e Infraestrutura
Mapear ficheiro IaC → recurso → ambiente para validar impacto e rastreabilidade. Garantir janelas de mudança e aprovações por papel. Registar exceções com prazo e contramedidas.
User Stories:
- US-07: Rastreabilidade ficheiro → recurso → ambiente — Validar impacto (com Auditores)
- US-13: Janela de mudança e aprovações — Reduzir risco operacional (com Auditores)
- US-14: Exceções formais em IaC — Evitar dívida estrutural (com AppSec)
Cap. 12 - Monitorização e Operações
Medir MTTD e MTTR de incidentes. Documentar conformidade entre controlos e requisitos regulatórios (SSDF, NIS2, ISO 27001).
User Stories:
- US-11: MTTD e MTTR de incidentes — Avaliar eficácia
- US-12: Documentação de conformidade regulatória — Demonstrar alinhamento (com Auditoria)
Cap. 13 - Formação e Onboarding
Medir KPIs de capacitação, executar simulações de incidentes, garantir formação mínima para terceiros, definir e recolher KPIs.
User Stories:
- US-03: KPIs de capacitação — Avaliar impacto em auditoria
- US-04: Simulações de incidentes — Validar processos (com Gestão)
- US-11: KPIs detalhados de capacitação — Reportar conformidade (com Gestão)
- US-12: Formação mínima para terceiros — NIS2/DORA (com Gestão)
Cap. 14 - Governança e Contratação
Validar fornecedores de forma contínua, executar validações periódicas de conformidade, validar formalmente onboarding de colaboradores.
User Stories:
- US-01: Validação contínua de fornecedores — Conformidade contratual
- US-07: Validações periódicas de conformidade — Detetar desvios (com AppSec)
Transversal - Todos os Capítulos
Ligar requisitos técnicos a obrigações legais (NIS2, DORA, GDPR, AI Act). Coordenar auditorias e manter rastreabilidade documental.
Referências aos Capítulos
Para contexto e enquadramento completo: