Dit document bevat richtlijnen voor het beheersen van informatiebeveiligingsrisico' s.

Dit document ondersteunt de algemene concepten vermeld in ISO/ IEC 27001 het is ontworpen om informatiebeveiliging te helpen implementeren op basis van een risicobeheerbenadering.

Het is belangrijk om vertrouwd te zijn met de concepten, modellen, processen en terminologieën beschreven in ISO/ IEC 27001 en ISO/ IEC 27002 om dit document volledig te begrijpen.

Dit document is van toepassing op alle soorten organisaties (bijv. commerciële ondernemingen, overheidsinstanties, non-profitorganisaties) die risico' s willen beheersen die de informatiebeveiliging van de organisatie in gevaar kunnen brengen.