In de context van een Information Security Management System (ISMS) definieert de reikwijdte de grenzen en toepasbaarheid van het managementsysteem—het specificeert welke processen, locaties, afdelingen, systemen en informatie-activa worden gedekt. Het vaststellen van de reikwijdte is een van de eerste stappen bij ISO 27001-implementatie en heeft directe invloed op welke maatregelen uit Annex A moeten worden overwogen in de Verklaring van Toepasselijkheid.
Een goed gedefinieerde reikwijdte zorgt ervoor dat het ISMS gericht en beheersbaar is, terwijl het alle gebieden dekt waar informatiebeveiligingsrisico's de organisatie kunnen raken. Een te nauwe reikwijdte kan kritieke activa onbeschermd laten, terwijl een te brede reikwijdte het managementsysteem onpraktisch kan maken. De reikwijdteverklaring moet worden gedocumenteerd en beschikbaar worden gesteld aan belanghebbenden, waaronder certificeringsauditors.