SDR — C1-GOV: ITSM, CMDB e NOC de medição (instrumentos)

Página estática gerada a partir do Markdown do repositório — o texto abaixo já vem no HTML (adequado a importação por URL em ferramentas que não executam o ver-md.html). Arquivo: sdr-0011a-c1-itsm-cmdb-noc-medicao.md

Baixar o .mdAbrir no visualizador MarkdownCatálogo de SDRsInício do site

Fonte: SDRs/sdr-0011a-c1-itsm-cmdb-noc-medicao.md

SDR — C1-GOV: ITSM, CMDB e NOC de medição (instrumentos)

Eixo: Ambos (Modelo de Serviços | Arquitetura Contratual | Ambos)

Campo Valor
Pai sdr-0011-governanca-c1-medicao.md
SSoT Sim — dono dos instrumentos que o C1-GOV opera para medir e atestar (ITSM, CMDB, NOC de medição, painéis, qualidade do dado, NTP, retenção)
Status Em validação

1. Finalidade

Especificar, como sub-SDR de sdr-0011, os instrumentos técnicos que o C1-GOV opera para tornar visível e auditável o serviço prestado por C2-OPR e C3-SEC: ITSM (gestão de processos e fila única), CMDB (base de itens de configuração), NOC de medição (consolidação de painéis em tempo real, distinto do NOC operacional do C2-OPR e do SOC do C3-SEC), painéis e regras transversais de relógio (NTP), retenção e qualidade do dado.

2. Regras canônicas

2.1 ITSM

  • Fila única com filas pactuadas por tipo (incidente, problema, mudança, requisição, evento) e por contrato (C1-GOV, C2-OPR, C3-SEC).
  • Numeração íntegra — sem reabertura silenciosa, sem renumeração após o congelamento mensal.
  • Catálogo publicado e versionado; mudança em fluxo segue procedimento documentado.
  • Trilha de auditoria (quem viu, quem decidiu, quando) em todo registro consequente para IMR.
  • Idioma e canal pactuados; evidência fora de canal pode ser desconsiderada (salvo ARRC).

2.2 CMDB

  • Metamodelo e listas curadas do repositório (CI, Componente, Serviço, Papel, Documento; modelo de linha; 800 itens em Informacoes-gerais/): sdr-0024.
  • Taxonomia de CI compatível com as unidades IMR (U1–U7) — referência de tipos de implementação/mapas: sdr-0020 (itens-configuracao-cmdb-top100.md).
  • Reconciliação com fontes operativas (descoberta, EDR, UEM, inventário de aplicação), com responsável nomeado.
  • Congelamento mensal da base remunerável; regra escrita de inclusão/exclusão de CI; ARRC quando inclusão/exclusão for imputável ao contratante.
  • Relacionamentos mínimos por CI (localidade, dono, criticidade, contrato responsável); sem CI órfão.
  • Histórico rastreável (versão por mês, com diff legível para fiscalização).
  • Validação cruzada periódica da CMDB: no mínimo semestral, executar reconciliação ampliada ou varredura com fonte independente da operação ordinária do C1-GOV — pipeline da Administração, ferramenta de descoberta sob custódia institucional ou apoio do C3-SEC (sem assumir o papel de “dono” da CMDB), conforme TR — com relatório de divergências, plano de saneamento e publicação no canal de fiscalização. Objetivo: reduzir risco de base remunerável desalinhada do ambiente real; detalhe de ferramenta e RACI no TR/anexo, não duplicado aqui.

2.3 NOC de medição (C1-GOV)

  • Distinto do NOC operacional do C2-OPR (alarmes de infraestrutura) e do SOC do C3-SEC (alarmes de segurança).
  • Função: consolidar painéis, monitorar qualidade do dado, garantir continuidade da medição inclusive em crise.
  • Cobertura: horário comercial em rotina; plantão de medição em crise quando houver disputa de nexo, ARRC em discussão ou trava trilateral em curso.
  • Fontes mínimas integradas: ITSM, CMDB, painéis de C2-OPR (NOC operacional, ferramentas de mudança), painéis de C3-SEC (SIEM, EDR, IAM, backup), ferramentas de gestão contratual.
  • Critério de ingestão para evidência que alimenta faturamento por IC (preferência por fonte automatizada, vínculo a ic_id, manual com justificativa): sdr-0023d §8.2.1 — sem duplicar aqui a política de prestação efetiva.
  • Pacto de relógio — NTP comum entre C1-GOV, C2-OPR e C3-SEC; relatórios em fuso America/São_Paulo salvo cláusula em contrário.

2.4 Painéis e qualidade do dado

  • Painel mensal consultável, com filtros por unidade IMR, localidade, contrato e período.
  • Painel diário/operacional opcional; quando existir, deve ter regra de promoção a “fato” (o que vira evidência atestada vs. ruído).
  • Índice de qualidade do dado (IQD) por fonte, com itens objetivos: cobertura, frescor, integridade de relógio, lacunas declaradas.
  • Ponto cego declarado — fonte parcial é melhor que fonte fingida; o painel deve mostrar o que não está sendo medido.

2.5 Retenção e LGPD

  • Retenção de evidência (logs, registros ITSM, snapshots de CMDB, anexos) compatível com PPSI/LGPD e com o ciclo de fiscalização contratual; sem prescrição silenciosa.
  • Pseudonimização e anonimização quando for possível e suficiente para a finalidade.
  • Direitos de titulares (LGPD) instruídos pelo C1-GOV; decisão jurídica pela Administração.

2.6 Ferramentas de coleta, manutenção e monitoração de IC

  • Software e hardware usados para alimentar CMDB, telemetria ou evidência de IC (incluindo sensores, probes, assinaturas e licenças) seguem a política de provisão, aceite e transparência de custos — texto canônico: sdr-0011e. Este sub-SDR (0011a) permanece dono dos instrumentos operacionais (ITSM, CMDB, NOC de medição); não duplica os três modos de fornecimento.

3. Vedações

  • C1-GOV não opera o NOC operacional do C2-OPR nem o SOC do C3-SEC.
  • C1-GOV não decide aceitação de risco; instrui a pauta para a Administração.
  • C1-GOV não pode ser executado pelo mesmo fornecedor que opera C2-OPR ou C3-SEC do mesmo serviço.

4. Regras para agentes

  • Distinguir explicitamente, em qualquer texto novo, NOC de medição (C1-GOV) de NOC operacional (C2-OPR) e de SOC (C3-SEC).
  • Ao especificar uma medida, indicar fonte, periodicidade, responsável e canal.
  • Toda menção a “evidência” deve trazer a localização (ITSM, CMDB, painel, SIEM, ferramenta de mudança).

5. Consumidores

6. Ligações

7. Fora do alcance deste sub-SDR

  • Ciclo mensal de ateste (rotina, contraditório, decisão): dono em sdr-0011b.
  • Trilateralidade e cobrança mútua: dono em sdr-0011c.
  • Controles PPSI atestados pelo C1-GOV: dono em sdr-0011d.
  • Trava trilateral e glosa: dono em sdr-0005.

Agentes de conformidade (Cursor)

Agente Regra Cursor Norma em SDRs/governance/rules/
Verificador de conformidade SDR sdr-conformity-checker.mdc sdr-conformity-checker.md
Detector de implementação sem vínculo SDR implementation-without-sdr-detector.mdc implementation-without-sdr-detector.md
Anti-vibecoding sem SDR no-vibecoding-without-sdr.mdc no-vibecoding-without-sdr.md

Processo: governance/README.md · Rastreabilidade código: traceability.md · Checagem: python scripts/check_sdr_conformity.py (na raiz do repositório).