Definir el alcance de aplicación de la norma ISO/IEC 27001:2022 es una tarea que debe hacerse antes de implantar la norma. El alcance de un SGSI se define para identificar qué información se va a proteger.

Entender este punto es fundamental pues debe tenerse en cuenta la responsabilidad sobre la protección de la información sin importar dónde, cómo y quién acceda a la misma. Cuando se analiza la información que debe protegerse, hay que tener en cuenta que no importa si esta información se almacena en las oficinas de la empresa o en algún lugar de la nube; no importa si se accede a esta información desde una red local o mediante acceso remoto.

En el caso de que se decida para certificar el sistema SGSI, documentar el alcance y el mapa de procesos tiene una gran importancia. El auditor en la etapa de certificación verificará si todos los elementos del SGSI cumplen los requisitos y si están correctamente implementados dentro de su alcance; no comprobará los departamentos o sistemas que no están incluidos en el alcance definido para el SGSI con la ISO/IEC 27001:2022.