O Sistema de Gestão de Segurança da Informação, definido pela NBR ISO/IEC 27001:2013, considera que a proteção da informação, considerando o seu ciclo de vida da informação deve estar circunscrita:

 

• apenas onde a informação trafega.

• apenas ao momento em que a informação está online.

• onde a informação trafega e é armazenada, desde que em meios digitais.

• apenas onde a informação é armazenada.

• onde a informação trafega e é armazenada, seja em meios digitais ou não digitais.