Ovaj standard pruža smjernice za upravljanje rizikom bezbjednosti informacija. Podržava opšte koncepte navedene u standard ISO/IEC 27001 i dizajniran je da pomogne pri implementaciji standarda informacione bezbjednosti zasnovane na pristupu upravljanja rizikom.

Poznavanje koncepata, modela, procesa i terminologija opisanih u standardima ISO/IEC 27001 i ISO/IEC 27002 je važno za potpuno razumijevanje ovog standarda. Standard je primjenljiv na sve vrste organizacija koje namjeravaju da upravljaju rizicima koji mogu da ugroze bezbjednost informacija organizacije.