O risco residual representa o risco que permanece após a aplicação efetiva dos controlos definidos, e constitui a base factual para qualquer decisão consciente de aceitação, mitigação adicional ou rejeição.
Catálogo canónico de requisitos de classificação de criticidade aplicacional (CLA-001 a CLA-008), com aplicabilidade por nível de risco e critérios de aceitação para classificação formal, reclassificação, risco residual e proporcionalidade de controlos.
Política organizacional que define os critérios, o processo formal, as alçadas de aprovação e os requisitos de rastreabilidade para a aceitação de risco residual em aplicações classificadas L1 a L3, incluindo riscos provenientes de controlos não aplicados, findings não corrigidos e ameaças identificadas no threat modeling.
Política organizacional que define o processo formal de decisão go/no-go para releases de software, incluindo alçadas de aprovação por nível de criticidade, separação entre sinal automático e decisão humana, aceitação formal de risco residual e registo de evidências, proporcional ao nível de criticidade (L1, L2, L3).
Política organizacional que define os critérios, o processo formal, as alçadas de aprovação, os controlos compensatórios e os prazos de reavaliação aplicáveis a exceções a vulnerabilidades conhecidas (CVEs) em dependências de software, proporcional ao nível de criticidade da aplicação (L1, L2, L3).