資安法本身就有明確訂定範圍

包括公務機關與特定非公務機關
公務機關：指依法行使公權力之中央、地方機關（構）或公法人。但不包括軍事機關及情報機關。
特定非公務機關：指關鍵基礎設施提供者、公營事業及政府捐助之財團法人。

這規定的範圍涵蓋面向其實是相當廣泛的，因為管理要求裡面就會包括委外部分，因此若有跟政府機關業務來往的可能都需要遵守相關委外規定。

不提法律規定這麼大的包牌式範圍，之所以「範圍」要提出來談也是ISO 27001 裡面有規定的要做出範圍（scope）的訂定。雖然講起來很簡單，但實際上執行上必須定義的很清楚

以 ISO 27001 驗證來說，被驗證的範圍直接影響到要驗證的費用，過大的驗證範圍，會增加驗證所需更高的人天數、' 相關成本，尤其若導入顧問，如沒有定義好驗證範圍，增加的成本是很可觀的。

因此通常建議驗證核心系統即可，而核心系統的範圍不僅僅包括那特定的系統，還包括系統的邊界

舉人事系統為例，除了包括操作的AP端、Client端，也包括主機、操作系統、資料庫、網路架構、機房實體安全...等

基於可行性考量，最簡單實用的方式就是初期將資訊安全管理只納入資訊單位，而資訊單位同仁都需要知道資安法規範是包括全機關，在未來導入時以全機關作為目標時，從資訊單位作為標竿，再來推廣。

因此建議訂定範圍時，至少分為三層

1. 核心系統 - 全部核心資通系統導入CNS 27001或ISO 27001 等資訊安全管理系統標準、其他具有同等或以上效果之系統或標準。
2. 資訊單位 - 實務上驗證時會涉及的各項業務
3. 全機關 - 法規來看，整個機關都適用資安法，可以分階段、分部門...等方式撰寫導入計畫並逐步實施。

其中資訊單位與全機關中，其實可以細分與資訊單位較有關的單位，但這跟每個機關的文化有關就不細談。

最後，由於資安法規定的為全機關，因此也規定須由「資安長」作為全機關資訊安全的負責人，資安長必須有跨部門管理的權限，資安法第11條規定，公務機關皆應設置資通安全長；資通安全長由機關首長指派副首長或適當人員兼任。

定義清楚的範圍，對於初期的規劃與未來的執行都至關重要，尤其資安雜事甚多、影響甚大，核心系統與資訊單位範圍需要訂清楚，對於資安人員的負擔才不會過大，逐步導入核心系統、資訊單位，能在面對主管機關的稽核時更能有效應對。