ISMSを始めるにあたって、一番最初にやるのは、どこからどこまでのセキュリティを守りたいのか、範囲を決めることだ。　
　範囲といってもその範囲自体に、いくつか種類がある。



・事業　行っている事業はどんなものがあるだろう。そのなかで、何に対してISMSを適用するべきだろうか。
・組織　組織は、先に述べたとおり、山口大学なら、たくさんある組織のうちの情報基盤センターだけに限定した。
・所在地　所在地については、山口大学が3キャンパスあって、それぞれに情報基盤センターがあるので、それ全て、ということになる。
・資産　持っている資産についても、何をISMS適用範囲に含めるのかを考えなくてはならない。
・技術　その資産を維持、管理するために必要になる特別な技術がある場合は、その技術も適用内ということになる。


　どこからどこまでを適用範囲とし、ISMSの外との境界をはっきりさせる。
また、規格書には範囲から除外したものについては、どうして適用範囲から外したのか、理由をはっきりさせる、とあるが、
適用範囲内に入れたものについて理由がはっきりしていれば、おのずとこちらもはっきりするのではないかと思う。