Nie każde ryzyko domyka się od razu. Dojrzały proces zamiast udawać, że wyjątków nie ma, rejestruje je jawnie: co, dlaczego, na jak długo i kto za to odpowiada. Ta strona to rejestr wyjątków — techniczny, biznesowy, compliance exception, temporary mitigation, permanent acceptance — z datą wygaśnięcia i właścicielem. Wpisy poniżej są syntetycznymi przykładami ilustrującymi model danych, nie decyzjami operacyjnymi.
Każdy wyjątek to świadoma, nazwana i ograniczona w czasie decyzja o niedomykaniu (jeszcze) danego ryzyka. Różni się od znanego ograniczenia tym, że dotyczy konkretnego przypadku i ma datę wygaśnięcia oraz właściciela. Wyjątek bez daty wygaśnięcia lub bez ownera jest niekompletny — rejestr wymusza oba pola.
Ograniczenie architektury lub zależności, którego nie da się usunąć w bieżącym sprincie. Np. brak biblioteki, zależność od zewnętrznego dostawcy.
Świadoma decyzja właściciela produktu o priorytecie — funkcja odłożona ze względu na koszt, harmonogram lub wartość dla pilota.
Odstępstwo od wymogu zgodności zarejestrowane świadomie, z uzasadnieniem i planem domknięcia. Nie zwalnia z obowiązku — dokumentuje odroczenie.
Tymczasowy środek zaradczy w miejsce docelowej korekty. Ważny do czasu wdrożenia właściwej mitigacji — z datą wygaśnięcia.
Trwała akceptacja ryzyka: uznanie, że koszt domknięcia przewyższa ryzyko. Wymaga podpisu ownera; przegląd okresowy zamiast wygaśnięcia.
Każdy wyjątek (poza trwałą akceptacją) ma datę wygaśnięcia. Po niej wyjątek jest nieważny — ryzyko wraca do kolejki remediacji.
Kolumna Typ = kategoria wyjątku. Każdy wpis wymaga uzasadnienia, daty wygaśnięcia i ownera. Poniższe rekordy są SYNTETYCZNE — ilustrują strukturę, nie realne decyzje. Data widoku: 2026-07-05.
| ID | Typ | Uzasadnienie | Wygasa | Owner |
|---|---|---|---|---|
EXC-001 |
technical | Brak mTLS na bramie konektorów w środowisku demo — środowisko odizolowane, brak danych produkcyjnych. Odroczone do sprintu hardeningu transportu. | 2026-09-30 | tech-lead |
EXC-002 |
compliance | Evidence-package ma sha256, brak podpisu PAdES/TSA. Odroczone świadomie — wartość dowodowa hash wystarcza dla pilota; podpis formalny planowany. |
2026-12-31 | compliance-owner |
EXC-003 |
temp-mitigation | Wzbogacanie CVE offline (seed) zamiast lookup online. Tymczasowo: ręczne odświeżanie seedu co tydzień do czasu wdrożenia harmonogramu NVD/KEV. | 2026-08-15 | data-owner |
EXC-004 |
business | Konektor SIEM odłożony do fazy S5 — pilot opiera się na imporcie z plików skanerów. Decyzja właściciela produktu: priorytet na warstwę evidence. | 2026-10-31 | product-owner |
EXC-005 |
perm-acceptance | Instancja jednoorganizacyjna (brak multi-tenant) akceptowana trwale dla wdrożenia dedykowanego jednego partnera. Przegląd przy skalowaniu na wielu klientów. | przegląd 2027-01 | ciso-partner |
Powiązane: formalna akceptacja ryzyka → /risk-acceptance · kolejka domknięć → /remediation · granice dojrzałości systemu → /known-limitations.