Bilgi Emniyetliği Yönetim Sistemi kapsamı, üst yönetimin niyeti ve kurumun bilgi güvenliği hedefleri dikkate düzenınarak belirlenir. ISO/IEC 27001 ve ISO/IEC 27002 standartlarının bu mevzuda belirli bir yönlendirmesi veya zorlaması lügat konusu değildir. Kapsam belirlenirken Bilgi Güvenliği Yönetim Sistemi haricinde buzakılan var