İş, İşin Mekanı, Lokasyonlar, Organizasyon, Varlıklar ve Teknoloji karakteristikleri belirlenir.
Kapsam: Hangi Yönetimsel Birimler (Organizasyon) ile İşlerin (Aktiviteler) BGYS kapsamı içine girdiği, hangilerinin BGYS kapsamı dışında tutulduğu belirtilir. Sınırlar ve Limitler: Organizasyonun mekanı, özellikleri ile Varlıklar ve Teknoloji başlıklarında limitler beliritilir. BGYS kapsamının sınırları ve limitleri netleştirilir. Arayüzler: BGYS Risk Analizi Dökümanı içinde tanımlanan diğer sistem, organizasyon ve tedarikçileri ile arasındaki Bilgisayar veya İletişim paylaşımı yaptıığı tüm arayüzler beliritilir. Bağımlılıklar: BGYS'nin yasal ve ticari zorunluluklar nedeni ile uyum sağlamasını gerektiren Bağımlılıklar belirtilir.
Hariç Tutma / Savunma: BGYS içinde tanımlanmış olmasına karşın herhangi bir güvenlik politikası veya güvenlik ölçütü kapsaması içinde olmayan bölüm neden hariç tutulduğu gerekçeleriyle belirtilir.
