Um sistema de gestão de segurança da informação (SGSI) deve contemplar os requisitos de segurança necessários para assegurar a confidencialidade, integridade e disponibilidade da informação gerada pela organização. É necessário estabelecer o escopo e limites para a abrangência do SGSI.

Um aspecto que deve ser considerado na determinação do escopo do SGSI é (são):