Geltungsbereich (Scope) definiert die Grenzen des ISMS: welche Standorte, Abteilungen, Prozesse, Systeme und Informationen vom Informationssicherheits-Managementsystem abgedeckt werden. ISO 27001 (Abschnitt 4.3) fordert eine dokumentierte Festlegung des Geltungsbereichs.
Die Abgrenzung muss Schnittstellen zu Bereichen außerhalb des Scope berücksichtigen — etwa Dienstleister, die innerhalb des Geltungsbereichs tätig sind, oder IT-Systeme, die teilweise außerhalb liegen. Ein zu enger Scope kann dazu führen, dass kritische Risiken nicht erfasst werden. Ein zu weiter Scope erhöht den Aufwand unverhältnismäßig. Die Festlegung des Geltungsbereichs ist eine der ersten und wichtigsten Entscheidungen beim Aufbau eines ISMS.
Abzugrenzen vom Anwendungsbereich: Der Geltungsbereich fragt wer und wo (welche Gesellschaften, Standorte, Rollen), der Anwendungsbereich fragt was und worauf (welche Prozesse, Assets, Datenarten inhaltlich erfasst werden). In ISO 27001 §4.3 werden beide Dimensionen gemeinsam als scope zusammengefasst; im deutschen Sprachgebrauch lohnt sich die Unterscheidung in Policies und Verträgen.