(一) 正式範圍定義的目的
範圍定義的目的是準確說明組織所做的事情，範圍說明應準確說明組織所做的事情是否符合標準。
範圍的定義比較不適切的敘述如後：「XXX公司的資訊安全系統」，這樣的敘述並未提供有關組織所提供符合ISO 27001標準要求之產品或服務的詳細資訊，如此在驗證或稽核上會有困難，也可能導致證書的公信力遭受質疑。
範圍比較適切的敘述是：「由XXX公司提供的規劃軟體即服務平台的開發、維運及管理」，這樣的敘述告訴我們，組織的SaaS平台維運和管理認證，而且還獲得了開發認證。這也說明與系統的開發、維運和管理相關的人員和資訊系統都在範圍內，並且也需要滿足標準的要求。如果這個組織還提供其他服務，例如諮詢，則不應混淆或假設這個單獨的服務符合標準的要求，因為它沒有記錄在正式範圍內，並且不受驗證稽核。
(二) 確定和定義ISMS邊界的策略及方法
應先了解組織以及與其最相關的問題，以及對其最感興趣的人員和組織的需求和期望。請特別注意，對組織感興趣的人員和組織的要求應包含必須遵守的任何法律或法規要求。例如，如果您的公司提供電子支付的服務，則應確保與客戶資訊相關的人員、流程、系統和資訊都應在範圍內，確保公司不違反電子支付專有的法律或法規(電子支付機構管理條例、電子支付機構使用者身分確認機制及交易限額管理辦法)；範圍如果僅包括業務推廣部門，他們無權存取或影響任何客戶資訊或其安全性，這樣就無法滿足那些對實現組織目標能力影響最大的人(客戶、主管機關)的需求和期望。
確認組織及其目標最相關的詳細資訊後，應該可以了解資訊安全管理系統範圍內應包含哪些資訊；再來必須確定ISMS的邊界，可以將其視為一個界限，作為可信任的控制環境與外部環境之間的界限(這種界限可以是實體、網際網路、系統或是部門)。多數情況下，確定實體邊界最簡單，最安全的方法是包括整個組織，將包括其所有人員、流程、系統和實體位置。對於擁有單一辦公室的小型組織，或僅提供一種產品或服務的組織，要確定應包含在其中的人員和流程很容易，因為每個人都是組織的一部分。確定網際網路的邏輯邊界可以透過識別連接網路出入口分界點存在的位置，或者組織對網路的控制和可現性的情況來幫助確定資訊網路的邏輯邊界，網路架構圖也是確認網路邊界的一種輔助方式。現在有很多組織對於自己的網路架構不清楚，邊界就很難去界定。如果有組織架構圖，這樣可以幫助輕鬆識別涉及範圍內的特定產品或服務的部門/人員。但是，如果有人員在範圍之外又使用相同的辦公室或建築物，則必須將其視為與範圍之外的任何其他人相同並且受到控制。這可能包括單獨的實體區域(例如機房)，只允許在範圍內人員有進出權限；單獨的資訊系統，與其他組織單位簽訂合約用來定義和執行與資訊安全相關的要求等。範圍人員工作的任何實體位置，或者涉及範圍服務的資訊和系統需要包括在範圍內。
對於資訊的範圍，用於確定ISMS邊界的方法是建立資訊流程圖，可以展現關聯資料的邏輯對映。在此時並不用識別每個伺服器/路由器/交換器/儲存陣列或資料庫等。例如，如果在地理位置不同處有多個資料庫伺服器，在資訊處理上只需將資料庫標識為地圖上的單個點即可。從資料輸入系統/建築物的所有可能方式開始，識別存儲/處理/存檔的所有可能位置以及所有可能的輸出；此外還要注意資料在這些位置之間可能獲得的方式，可以深入查看資料可能儲存位置、資源及所使用的系統，以便最終獲得需要在範圍內的系統的完整清單，去確定它們所在的實體位置、它們之間的傳輸方法以及可以存取這些系統的個人。
縮小ISMS的範圍可以降低其開始的資源成本。能夠局限於某個部門而不用全組織的導入，對於負責資訊安全的人員而言當然比較輕鬆，但由於網路可以輕鬆跨越組織和實體邊界，因此局部導入可能無法實際維護資訊安全。建議首先確定您的組織透過ISO 27001驗證的ISMS控制，能為所有對組織感興趣的各方帶來最大利益為考量點，從此處開始識別人員、流程、系統和資料。限制ISMS範圍的可行性和敏感性將在很大程度上取決於您組織的具體情況及其背景，關鍵在於範圍有限的情況下，範圍之外的組織資產必須與公司外部的組織資產以相同控制措施執行管控。