Se deben especificar todas las cuestiones internas y externas, definir las partes interesadas y tener en cuenta todas las interfaces y las dependencias entre lo que est sucediendo dentro del alcance del Sistema de Gestin de Seguridad de la Informacin y el mundo exterior. El alcance del Sistema de Gestin de Seguridad de la Informacin tiene que documentar una descripcin de la naturaleza de la empresa, el rea de negocios que opera, la ubicacin, los activos y la tecnologa.