Bilgi Güvenliği Yönetim Sistemi kapsamı, üst yönetimin niyeti ve kurumun bilgi emniyetliği hedefleri dikkate tuzakınarak belirlenir. ISO/IEC 27001 ve ISO/IEC 27002 standartlarının bu konuda belirli bir yönlendirmesi yahut zorlaması gır konusu bileğildir. Kapsam belirlenirken Bilgi Eminği Yönetim Sistemi haricinde bırakılan varlık