Política organizacional que define os requisitos de segurança aplicáveis ao ciclo de vida contratual com fornecedores e contractors, incluindo due diligence pré-contratual, cláusulas contratuais mínimas por nível de risco, onboarding técnico, monitorização de conformidade, reavaliação periódica e offboarding seguro, proporcional ao nível de criticidade (L1, L2, L3).
Política organizacional transversal que define o processo formal de submissão, avaliação, aprovação, registo e reavaliação de exceções a controlos de segurança obrigatórios, com alçadas proporcionais ao nível de risco da aplicação. Aplica-se a todos os capítulos SbD-ToE onde existam controlos com obrigatoriedade formal.
Política organizacional que define os requisitos para a definição, recolha, análise e reporte de KPIs de governação de segurança, incluindo categorias de métricas, cadência de reporting, responsabilidades, thresholds de intervenção e integração com frameworks de maturidade (SAMM, SSDF), proporcional ao nível de criticidade (L1, L2, L3).
Política organizacional transversal que define os requisitos de rastreabilidade entre requisitos, controlos, evidências de validação, artefactos de build e eventos operacionais, assegurando que a postura de segurança é auditável de forma contínua e proporcional ao nível de risco da aplicação.
Política organizacional que define os requisitos para a rastreabilidade das práticas de segurança ao longo do ciclo de vida das aplicações, incluindo repositório de conformidade por aplicação, designação de owners de segurança, validações periódicas por capítulo SbD-ToE, evidências auditáveis e dashboard organizacional, proporcional ao nível de criticidade (L1, L2, L3).
Política organizacional que define a cadência obrigatória e os triggers de revisão da classificação de risco aplicacional, assegurando que o nível de criticidade e os controlos associados se mantêm adequados ao contexto técnico e de negócio ao longo de todo o ciclo de vida da aplicação.