Catálogo canónico de requisitos de governação organizacional de segurança (GOV-001 a GOV-014), com aplicabilidade por nível de risco e critérios de aceitação para ownership, excepções, contratação, rastreabilidade, validação contínua, maturidade, onboarding técnico de terceiros e revisão de acesso.
Como o modelo de governação contribui para evolução da maturidade de segurança
Método usado para validar claims de rastreabilidade, maturidade e ameaças mitigadas no manual SbD-ToE
Política organizacional que define os requisitos para a definição, recolha, análise e reporte de KPIs de governação de segurança, incluindo categorias de métricas, cadência de reporting, responsabilidades, thresholds de intervenção e integração com frameworks de maturidade (SAMM, SSDF), proporcional ao nível de criticidade (L1, L2, L3).
Recomendações reforçadas para contextos críticos ou ambientes com elevada maturidade
Práticas avançadas para reforçar a segurança, rastreabilidade e auditabilidade de deploys críticos.
Práticas avançadas para contextos de elevada maturidade em arquitetura segura
Práticas reforçadas e recomendações opcionais para organizações com maior maturidade em desenvolvimento seguro
Recomendações para organizações com maior maturidade em formação contínua, automação e segurança comportamental.
Este anexo apresenta práticas não obrigatórias, mas altamente recomendadas para organizações que pretendam alcançar níveis mais elevados de maturidade e auditabilidade na gestão de risco aplicada ao ciclo de vida de software.
Práticas avançadas para maturidade elevada em logging, deteção adaptativa e correlação entre eventos.
Práticas reforçadas para contextos de maior maturidade ou requisitos regulatórios em projetos de IaC.