目前，各類型的組織對可能危及其信息安全的威脅都十分關注，協調處理信息安全方面的問題已經成為各組織中信息技術（IT）部門的首要問題。新標準ISO/IEC 27005對信息安全風險管理的程序和相關行動進行了說明，該標準將幫助各組織規避信息安全方面的風險。 信息安全的威脅可能是蓄意的也可能是意外，其誘因可能是IT系統的使用也可能是IT物理和環境方面的影響。這些威脅可能采用身份盜取、網上交易、服務攻擊、遠程間諜、設備或文件盜竊，以及通過地震或氣候現象，如火災、水災等形式顯現。這些威脅將產生不同形式的影響，例如：財政上的損失、基礎網絡服務的損失、以及由電力供應中斷和通信設備故障引起的用戶信心下降。 ISO/IEC 27005“信息技術–安全技術–信息安全風險管理”為信息安全的風險管理提供指導，并支持ISO/IEC 27001“信息技術–安全技術–信息安全管理系統–要求”中規定的一般概念。該標準旨在協助信息安全管理體系標準ISO/IEC 27001的執行。ISO/IEC 27001和ISO/IEC 27002中描述的概念、模式、程序和術語對全面了解該國際標準將產生十分重要的作用。 信息安全風險管理程序的構成如下： ●背景建立； ●風險評估； ●風險處理； ●風險認可； ●風險通信； ●風險監測及審查。 但是，ISO/IEC 27005并沒有為信息安全風險管理提供任何具體的方法。各個組織將確定自己的風險管理方法，如依靠信息安全管理系統的范圍，基于風險管理的背景等方法確立。 ISO/IEC 27005“信息技術–安全技術–信息安全風險管理”由聯合技術委員會ISO/IEC JTC 1下屬的IT安全技術SC 27分委員會制定。