Política organizacional que define os critérios, o processo formal, as alçadas de aprovação e os requisitos de rastreabilidade para a aceitação de risco residual em aplicações classificadas L1 a L3, incluindo riscos provenientes de controlos não aplicados, findings não corrigidos e ameaças identificadas no threat modeling.
Política organizacional que define o modelo obrigatório de classificação de risco por eixos (Exposição, Dados, Impacto), os momentos de aplicação, os critérios de revisão e os requisitos de registo formal, para todas as aplicações desenvolvidas ou operadas pela organização.
Política organizacional transversal que define o processo formal de submissão, avaliação, aprovação, registo e reavaliação de exceções a controlos de segurança obrigatórios, com alçadas proporcionais ao nível de risco da aplicação. Aplica-se a todos os capítulos SbD-ToE onde existam controlos com obrigatoriedade formal.
Política organizacional que define a cadência obrigatória e os triggers de revisão da classificação de risco aplicacional, assegurando que o nível de criticidade e os controlos associados se mantêm adequados ao contexto técnico e de negócio ao longo de todo o ciclo de vida da aplicação.