Geltungsbereich (Scope) definiert die Grenzen des ISMS: welche Standorte, Abteilungen, Prozesse, Systeme und Informationen vom Informationssicherheits-Managementsystem abgedeckt werden. ISO 27001 (Abschnitt 4.3) fordert eine dokumentierte Festlegung des Geltungsbereichs.
Die Abgrenzung muss Schnittstellen zu Bereichen außerhalb des Scope berücksichtigen — etwa Dienstleister, die innerhalb des Geltungsbereichs tätig sind, oder IT-Systeme, die teilweise außerhalb liegen. Ein zu enger Scope kann dazu führen, dass kritische Risiken nicht erfasst werden. Ein zu weiter Scope erhöht den Aufwand unverhältnismäßig. Die Festlegung des Geltungsbereichs ist eine der ersten und wichtigsten Entscheidungen beim Aufbau eines ISMS.