Для установления области действия системы менеджмента информационной безопасности организация должна определить применимость системы менеджмента информационной безопасности и ее границы.
При определении области действия системы менеджмента информационной безопасности необходимо учитывать:
a) внутренние и внешние факторы, указанные в 4.1;
b) требования, приведенные в 4.2;
c) порядок взаимодействия и зависимости между деятельностью данной организации и деятельностью других организаций.
Область действия системы менеджмента информационной безопасности должна быть доступна в виде документированной информации.