Política de Aceitação de Risco Residual
Política organizacional que define os critérios, o processo formal, as alçadas de aprovação e os requisitos de rastreabilidade para a aceitação de risco residual em aplicações classificadas L1 a L3, incluindo riscos provenientes de controlos não aplicados, findings não corrigidos e ameaças identificadas no threat modeling.