4.3 Określenie zakresu systemu zarządzania bezpieczeństwem informacji

Organizacja powinna określić granice i zakres stosowania systemu zarządzania bezpieczeństwem informacji w celu ustalenia jego zakresu.

Przy określaniu tego zakresu organizacja powinna uwzględnić:

a) czynniki zewnętrzne i wewnętrzne określone w punkcie 4.1;

b) wymagania określone w punkcie 4.2;

c) interfejsy i zależności między działaniami realizowanymi przez organizację a tymi, które są wykonywane przez inne organizacje.

Zakres systemu zarządzania bezpieczeństwem informacji powinien być dostępny jako udokumentowana informacja.