CERTO.
Segundo a ISO 27005:2011,"7.3 Escopo e limites
Ao definir o escopo e os limites, convém que a organização considere as seguintes informações:
-Os objetivos estratégicos, políticas e estratégias da organização
-Processos de negócio
-As funções e estrutura da organização
-Requisitos legais, regulatórios e contratuais aplicáveis à organização
-A política de segurança da informação da organização
-A abordagem da organização à gestão de riscos
-Ativos de informação
-Localidades em que a organização se encontra e suas características geográficas
-Restrições que afetam a organização
-Expectativas das partes interessadas
-Ambiente sociocultural
-Interfaces (ou seja: a troca de informação com o ambiente)."