Denna internationella standard innehåller riktlinjer för hantering av informationssäkerhetsrisker. Denna internationella standard stödjer de allmänna koncept som specificeras i SS-ISO/IEC 27001 och den är utformad för att stödja ett lyckat införande av informationssäkerhet med utgångspunkt från riskhantering. Kunskap om de koncept, modeller, processer och den terminologi som beskrivs i SS-ISO/IEC 27001 och SS-ISO/IEC 27002 är av betydelse för en fullständig förståelse av denna internationella standard. Denna internationella standard är tillämplig för alla typer av organisationer (t.ex. kommersiella företag, statliga myndigheter, ideella organisationer) vilka avser att hantera risker som skulle kunna äventyra organisationens informationssäkerhet.