六、 訂定資訊安全管理系統適用範圍
組織必須確定資訊安全管理系統的邊界和適用性，以確定其範圍。在確定此範圍時，組織應考慮4.1中提到的外部和內部問題；還必須考慮到第4.2條中確定的有關各利害關係者的要求；必須考慮組織執行的活動與其他組織執行的活動之間的介接和依存關係。此範圍必須文件化。
ISMS範圍和邊界決定了ISMS在組織中的適用程度。範圍是規劃資訊安全管理系統推行和實施的關鍵部分。確認正確且適用的ISMS範圍非常重要，因為它將幫助組織滿足其安全要求並規劃ISMS實施，例如：確定所需的資源、時程表及預算。範圍如果沒有明確定義，將導致不必要的資源浪費（在時間、成本和努力方面），因為當在不同範圍內進行風險評估時，將導致不正確地識別資訊安全風險。
此外，如果ISMS範圍與組織的安全要求不一致，組織可能會發現ISMS浪費時間和資源，進而不重視實施資訊安全管理的益處。ISMS的範圍可以根據組織整體或組織的一部分來定義，通常使用邊界和適用性聲明來說明組織的ISMS範圍。所選定的ISMS範圍對於組織實現其業務目標至關重要，一般而言，ISMS範圍應涵蓋提供服務和/或生產產品的所有流程，包括流程中相關人員、流程和技術以及相關資產的完整要素。ISMS範圍應考量組織已知風險，例如：在金融機構中，未經授權存取線上交易的風險可能對其業務運營產生重大影響。因此，該金融機構的ISMS範圍可以定義為線上交易服務。在定義ISMS範圍和邊界之前可以用下列範例問卷：

1. 您的組織中有哪些業務將由資訊安全管理系統負責？
2. 所選擇的營運業務為何重要？
3. 所選業務的特徵是什麼，即企業、組織、其所在地、資產和技術將被納入ISMS？
4. 是否需要外部各方遵守您的資訊安全管理系統？
5. 組織執行的活動之間是否存在任何關聯或依賴關係？是由哪些人執行？這些人應該納入範圍嗎？
   實施ISMS所需的工作負荷取決於適用範圍的規模和複雜程度，然而在定義ISMS範圍時，組織應考慮資訊安全和業務需求、利害關係者的期望以及預期資源等因素，為確保有效實施ISMS，應將其視為實現組織業務目標的推動方式。為了確定ISMS範圍和邊界，組織應執行以下活動：
6. 考慮組織的資訊安全要求，這些要求已在第4.1條 - 定義資訊安全要求中確定。
7. 考慮組織執行的活動與其他組織執行的活動之間的任何關聯和依賴關係。
8. 考慮可能會因機密性、完整性或可用性的損失而對組織和/或社會造成重大影響的關鍵服務。
9. 定義組織範圍和邊界。
10. 定義資訊通信技術系統的範圍和界限。
11. 定義實體範圍和邊界。
12. 整合相關基本範圍和邊界以獲得ISMS範圍和邊界。
    組織可在需要時，就建議的ISMS範圍和邊界徵求驗證機構的意見，並確保高階管理者記錄並核准ISMS範圍。