4.3. Determinación del alcance del Sistema de Gestión de la Seguridad de la Información
La empresa debe determinar los límites y la aplicabilidad del Sistema de Gestión de la Seguridad de la Información para establecer su alcance:
Cuando se determina este alcance, la empresa debe considerar:
a) Las cuestiones externas e internas referenciadas al numeral 4.1
b) Los requisitos referidos en el numeral 4.2
c) Las interfaces y dependencias entre las actividades realizadas por la empresa y la que realizan otras empresas
El alcance debe estar disponible como información documentada.