Fonte: SDRs/sdr-0011-governanca-c1-medicao.md
SDR — Governança (C1-GOV): medição, ITSM, CMDB, NOC de medição e conformidade
Eixo:
Ambos(Modelo de Serviços | Arquitetura Contratual | Ambos)Governança é, ao mesmo tempo, instrumento contratual (IMR, ANS, glosa, trava — Eixo 2) e serviço prestado ao órgão (medição, ITSM, CMDB, painéis, sala de medição — Eixo 1). Por isso, o eixo deste hub é Ambos, alinhado ao glossário de eixos e à política de rótulos do sdr-0022.
| Campo | Valor |
|---|---|
| SSoT | Sim — dono das regras construtíveis do contrato C1-GOV (medição, ITSM, CMDB, NOC de medição, fiscalização operacional, conformidade aplicada) |
| Status | Em validação |
| Estado | hub; sub-SDRs em sdr-0011a..f; site consumidor em arquitetura-contratual/site/governanca.html |
1. Finalidade
Definir o C1-GOV como contrato de governança e medição: ITSM, CMDB, NOC de medição (distinto do NOC operacional do C2-OPR e do SOC do C3-SEC), painéis, qualidade do dado, sala de medição, ciclo mensal de ateste, fiscalização operacional e apoio ao PPSI/LGPD — sem decidir pela Administração e sem operar o ambiente alheio. O C1-GOV é o ponto onde o contratante enxerga, em tempo real e em retrospectiva, se C2-OPR e C3-SEC estão produzindo o serviço contratado, e cobra evidência consistente.
2. Escopo canônico
- operar e manter ITSM e fluxos de medição;
- manter CMDB e catálogo, conforme responsabilidades pactuadas;
- operar NOC de medição (consolidação, painéis, qualidade do dado, NTP comum);
- monitorar disponibilidade e consolidar evidência cruzada;
- medir IMR e ANS;
- conduzir o ciclo mensal de ateste (ver sdr-0011b);
- apoiar fiscalização contratual (sem decidir pela Administração — ver sdr-0010);
- produzir relatórios, painéis e trilhas de auditoria;
- apoiar governança PPSI/LGPD com indicadores e insumos (ver sdr-0011d);
- exercer e instruir a trilateralidade (cobrança mútua entre os três contratos — ver sdr-0011c);
- disciplinar ferramentas de software e hardware usadas na coleta, manutenção e monitoração de IC (titularidade, fornecimento, custos no relatório mensal — ver sdr-0011e);
- quando a contratante inserir novas ferramentas por iniciativa própria, fixar prazo de 90 dias para os contratos afetados se adequarem aos novos níveis de serviço — ver sdr-0011f.
3. Vedações
- C1-GOV não executa operação ordinária de infraestrutura que pertença ao C2-OPR.
- C1-GOV não substitui SOC, resposta de segurança ou backup do C3-SEC.
- C1-GOV não aplica glosa por conta própria; a Administração decide.
- C1-GOV não pode ser operado pelo mesmo fornecedor que opera C2-OPR ou C3-SEC do mesmo serviço — vedação de duplo papel (sdr-0001).
- C1-GOV não recria postura, controle ou resposta — recebe evidência de C2-OPR/C3-SEC e mede.
4. Camadas funcionais do C1-GOV
| Camada | Foco | O que entrega |
|---|---|---|
| Medição e telemetria | Capturar dado em canal pactuado | ITSM, CMDB, NOC de medição, painéis, índice de qualidade do dado, NTP, retenção |
| Evidência e ateste | Prova auditável | Captura, normalização, congelamento mensal, trilha auditável |
| Fiscalização contratual | SLA, glosa, ARRC, nexo | Apoio a gestor/fiscais; ciclo mensal; preparação técnica de glosa por nexo |
| Conformidade aplicada (C1) | PPSI/LGPD na ótica de medição | Relatório de gaps PPSI, indicadores, insumos para RIPD |
| Sala de medição e crise contratual | Ritmo, RACI ativo, decisão registrada | Reunião mensal; turno reforçado em crise; ata e linha do tempo no ITSM |
| Indicadores e relatórios institucionais | Tornar o serviço inteligível | IMR, ANS, painel mensal/trimestral, relatórios de fiscalização |
| Apoio à evidência cruzada | Custódia íntegra entre fontes | Recebimento e custódia de evidência de C2-OPR e C3-SEC; reconciliação com CMDB |
Detalhe canônico em sdr-0011a (instrumentos), sdr-0011b (ciclo mensal) e sdr-0011c (trilateralidade).
5. Modelo operativo (NOC de medição)
O NOC de medição do C1-GOV consolida painéis, ITSM e CMDB em um ponto único de fiscalização. Pode ser centralizado, distribuído com consolidação obrigatória ou organizado em plantão de medição em crise. Em qualquer arranjo, o C1-GOV não opera o NOC operacional (C2-OPR) nem o SOC (C3-SEC); recebe deles a evidência em formato e canal pactuados, mede a qualidade do dado e atesta. O texto canônico está em sdr-0011a.
6. Trilateralidade — cobrança mútua (resumo)
A maturidade do serviço vem dos três contratos se cobrando mutuamente, com a Administração como árbitro e decisora:
- C1-GOV cobra evidência consultável, aderência PPSI/LGPD, coerência catálogo×execução, qualidade do dado e tempestividade.
- C2-OPR e C3-SEC cobram tempestividade de decisão, congelamento estável da base remunerável, integridade do ITSM, anti dupla cobrança e critério de evidência mínima publicado por unidade IMR.
- Vedação de duplo papel — quem mede não opera; quem opera não atesta a si próprio; quem protege não esconde achados.
Texto canônico (matriz de cobranças mútuas, listas e exceções): sdr-0011c. Norma de arquitetura: sdr-0001. Trava trilateral e glosa: sdr-0005.
7. Regras mínimas do TR — Governança (C1-GOV)
- ITSM com filas pactuadas, numeração íntegra, sem reabertura silenciosa.
- CMDB com taxonomia compatível com U1–U7; metamodelo e listas curadas do repositório: sdr-0024; congelamento mensal; regra escrita de inclusão/exclusão.
- NOC de medição com NTP comum, índice de qualidade do dado e cobertura por fonte.
- Retenção de evidência compatível com PPSI/LGPD e com o ciclo de fiscalização.
- Painel mensal consultável (filtros por unidade, localidade e período).
- Relatório de fiscalização com nexo, evidência e proposta de glosa/ateste.
- Indicadores de qualidade do dado e de tempestividade de decisão.
- Trilha auditável de quem viu o quê, quando e que decisão tomou.
- Política de ferramentas para coleta, manutenção e monitoração de IC (contratante versus contratada, ferramentas livres, custos e transferência patrimonial): sdr-0011e.
Detalhe canônico do ciclo mensal: sdr-0011b. Parâmetros numéricos no ANS modelo e no sdr-0007.
8. Regras para agentes
- Ao gerar documentos, separar “medir e atestar” de “executar”.
- Toda medição deve apontar fonte, periodicidade, responsável e canal.
- Quando C1-GOV for causa de falta de visibilidade, aplicar regra de nexo da glosa por visibilidade (sdr-0005).
- Cobrança mútua sempre com nexo e evidência; sem retórica.
- Em material novo, usar o rótulo estendido C1-GOV conforme sdr-0022 §10.1.
9. Consumidores
TR C1-GOV, ANS, RACI, site de Governança (arquitetura-contratual/site/governanca.html), fiscalização e PPSI/LGPD.
10. Vínculo PPSI / GSI (C1 — medição e ateste)
O PPSI é a base central de referência do projeto. O C1-GOV mede, audita e consolida evidência de controles de SI, inclusive os previstos na IN GSI/PR nº 3/2021 — Capítulo VI (avaliação de conformidade nos aspectos de SI). Mapa medida × contrato: sdr-0014a. Catálogo GSI/DSIC: sdr-0015a. Controles atestados pelo C1-GOV (texto canônico): sdr-0011d.
Medidas PPSI típicas sob medição/ateste C1 (exemplos): 0.13 (gestão de riscos de SI — relatórios e trava); 0.16 (avaliação de conformidade em SI); 17.4 (processo de gestão de incidentes — tempos e IMR); 17.6 (mecanismos de comunicação durante incidentes); 17.8 (análises pós-incidente — RPI no prazo).
11. Sub-SDRs (Pai: sdr-0011)
| Sub-SDR | Tema |
|---|---|
| sdr-0011a | ITSM, CMDB e NOC de medição (instrumentos) |
| sdr-0011b | Ciclo mensal de medição e ateste |
| sdr-0011c | Trilateralidade — cobrança mútua entre C1-GOV ↔ C2-OPR ↔ C3-SEC |
| sdr-0011d | Controles PPSI medidos e atestados pelo C1-GOV |
| sdr-0011e | Ferramentas de coleta, manutenção e monitoração de IC (fornecimento, titularidade, custos no relatório mensal) |
| sdr-0011f | Novas ferramentas por iniciativa da contratante: 90 dias para adequação dos contratos afetados aos novos SLAs |
Ligações
- sdr-0001-arquitetura-tres-contratos.md
- sdr-0002-imr-unidades-e-evidencias.md
- sdr-0005-trava-e-glosa.md
- sdr-0007-ans-parametros-sla.md
- sdr-0010-gestao-fiscalizacao-contratual.md
- sdr-0014-ppsi-lgpd-conformidade.md
- sdr-0014a-ppsi-mapeamento-trilateral.md
- sdr-0015a-catalogo-gsi-dsic.md
- sdr-0020-dados-ibama-mapa-ativos-cmdb-kml.md — referência de tipos de CI para inventário (
itens-configuracao-cmdb-top100.mdno repositório; não duplicar a lista neste SDR) - sdr-0024-cmdb-taxonomia-referencia-projeto.md — taxonomia CMDB (cinco tipos) e três arquivos de referência em
Informacoes-gerais/(800 itens)
Agentes de conformidade (Cursor)
Os três agentes abaixo aplicam-se à edição e à revisão dos arquivos SDRs/sdr-*.md (exceto SDRs/templates/ e normas em SDRs/governance/). Este bloco é informativo; use o script na raiz do repositório para diagnóstico estrutural.
| Agente | Regra Cursor | Norma em SDRs/governance/rules/ |
|---|---|---|
| Verificador de conformidade SDR | sdr-conformity-checker.mdc |
sdr-conformity-checker.md |
| Detector de implementação sem vínculo SDR | implementation-without-sdr-detector.mdc |
implementation-without-sdr-detector.md |
| Anti-vibecoding sem SDR | no-vibecoding-without-sdr.mdc |
no-vibecoding-without-sdr.md |
Processo: governance/README.md · Rastreabilidade código: traceability.md · Checagem: python scripts/check_sdr_conformity.py (na raiz do repositório).