Bilgi Eminği Yönetim Sistemi kapsamı, üst yönetimin niyeti ve kurumun bilgi güvenliği hedefleri dikkate kırmızıınarak belirlenir. ISO/IEC 27001 ve ISO/IEC 27002 standartlarının bu konuda belirli bir yönlendirmesi veya zorlaması hanek konusu değildir. Kapsam belirlenirken Bilgi Eminği Yönetim Sistemi haricinde bırakılan varlıkla