組織的規模類型很多，有些組織只是小型或微型企業，有些則是中大型企業或跨國企業，雖然前一個主題要ISMS制度規劃者要透視整個組織，然而ISMS並沒有規定一定得要「全組織導入」，組織可以依照自己的需求來匡出想要導入ISMS的範圍 (Scope)，畢竟不是所有的組織都適合全組織導入，因此組織可以自由決定要在全部或是在局部範圍 (如一個生產線、一個部門或一種業務等等) 導入ISMS制度。

雖然ISMS不限制組織要導入的範圍，但組織需就要導入的範圍進行分析，也就是前一個主題提到的全景，以及導入範圍與其他組織 (內部或外部) 連結的介面 (Interface) 及相依性 (Dependency)，這有助於釐清來自於內部或外部可能的風險，例如組織只想導入「IT基礎建設維運」，這時與IT基礎建設維運有關的內外部組織都要涵蓋進來，舉凡是MIS團隊、IT使用者、供應商或是雲端服務等都要包含在內，若有代管客戶IT服務時，則客戶也要包含進來。

在思考匡列範圍時，運用以風險為主的思維 (Risk-based Thinking) 較為適當，因為導入ISMS的目的是為了要降低組織的資訊安全風險，並保護組織所想要保護的資產，若把ISMS匡在一個對降低風險無關痛癢的範圍，或是所匡列的範圍並無法降低或降低程度極為有限時，那麼導入ISMS不僅是浪費資源，也容易讓ISMS本身無法發揮應有的作用。

通常ISMS導入的範圍會由組織的最高管理階層 (Top Management) 審查，由最高管理階層確認組織的哪個部份要導入ISMS，畢竟最高管理階層必須為ISMS投入必要資源，若匡得太大可能會虛耗太多資源，而匡得太小又可能搔不到癢處，且最高管理階層必須要對的管理系統制度的運作與維持要有所承諾 (Commitment)，因此讓最高管理階層「畫押」是ISO管理系統標準的必備要求，ISMS自然也不會例外。

還有一個重點，匡列的範圍在通過第三方稽核，由驗證組織授證時，證書上會載明ISMS驗證的範圍，因此若導入ISMS與組織業務有直接相關時，將範圍匡在有直接相關的業務上會是一個不錯的作法，當然若導入ISMS只是為了滿足特定要求 (如法遵)，本身不會因為導入ISMS而獲利時，選擇小範圍的導入也是個好選擇，但要注意所選擇的ISMS範圍應要能有效的控制或緩解風險，若無法做到，則可能會在第三方驗證稽核時被關切。

主條文 4.3要求組織需將範圍以文件化資訊提供，亦即組織需將決定導入ISMS的範圍的分析與決定方式編寫為文件，以及相關的決定記錄 (可能是會議記錄) 作為佐證。

另外，即便一開始匡了某個範圍，未來仍然可以依照需求擴大範圍，當組織決定要增列範圍時，可向驗證組織申請增列範圍，驗證組織會決定額外的稽核活動，或是與追查稽核 (授證有效期間內的年度稽核) 一起進行；同樣的，若組織無法在匡列的範圍內符合管理系統要求時，則驗證組織有權減列範圍，針對嚴重缺失的範圍排除於授證範圍之外，以維持驗證範圍的一致性。