ISO20000信息安全管理体系标准适用范围：

适用于各种类型、规模和特性的组织（例如：商业企业、政府机构、非盈利组织等），规定了为适应不同组织或其部门的需要而定制的安全控制措施的实施要求。

一、适用于所有组织的特定风险类别

1）工资、养老金、健康与安全、组织档案、内部和部门间的信息等。

2）任何其他与个人有关的可识别信息。

3）任何其他商业关键信息，例如：研发信息、设计信息、客户组织详细信息、财务结果。

4）与预测、商业计划、知识产权、制造过程等。

二、适用于政府关键信息的特定风险类别

1）公共信息

2）电子政务应用

3）卫生保健

4）教育

5）航空航天

6）电信

7）金融服务

8）慈善团体以及非盈利机构组织。