Esta tarea establecerá y definirá el marco general de referencia para el proyecto. Como resultado final se obtendrán las cuestiones a desarrollar para el proyecto concreto así como la planificación del mismos. La identificación realizada anteriormente de procesos críticos de la Organización basada en los requisitos de protección y en el impacto del negocio definirá el alcance final del SGSI.

Definir el alcance, objetivos del SGSI, su dominio y sus límites en función de los procesos críticos de la Organización identificados. Se efectuará una primera identificación del entorno y de las restricciones generales a considerar. Se establecerán los colectivos de personas (responsables, técnicos, usuarios, etc.) necesarios para la recogida de información.

Deberán incluirse los siguientes detalles para concretar el alcance final:

·  Descripción de la organización
·  Descripción funcional del negocio
·  Descripción de localización y distribución geográfica
·  Procesos de negocio incluidos en el alcance
·  Sistemas de Información incluidos en el alcance
·  Diagrama de red

Si algunas áreas de negocio van a ser excluidas del proyecto, se indicarán las razones de la exclusión debidamente justificadas.

Esta actividad estima los elementos de planificación del proyecto, sus cargas de trabajo, el grupo de usuarios, los participantes y su modo de actuación y el plan de trabajo para la realización del  proyecto.

El proyecto se organizará en los siguientes grupos:
·  Comité de seguimiento

- Constituido por el responsable de las unidades afectadas,  el responsable de informática de dichas unidades, y el jefe de proyecto.
·  Jefe de proyecto  
·  Equipo  de proyecto
·  Coordinador local

- En caso de tratarse de una gran organización, efectuará labores de coordinación entre los participantes externos, el comité de seguimiento y los usuarios.
·  Usuarios

- Formado por usuarios representativos dentro de las unidades afectadas por el proyecto de análisis y gestión de riesgos.

Se adaptarán los cuestionarios para la recogida de información en función del entorno a analizar. Se elegirán las técnicas principales de evaluación de riesgo a utilizar y se asignarán las personas y recursos necesarios para el comienzo del proyecto. El punto de designación de personas es muy importante, ya que en función del ámbito del proyecto, serán necesarias personas expertas en diferentes campos (redes, SO, etc.), por lo que será imprescindible una correcta  planificación en la participación del de éstas.

También se realizará una campaña informativa de sensibilización a los afectados internos sobre las finalidades y requerimientos en su participación.