La norma fornisce una guida per aiutare le organizzazioni a:
- soddisfare i requisiti della norma ISO/IEC 27001 relativi alle azioni per affrontare i rischi per la sicurezza delle informazioni;
- eseguire attività di gestione del rischio per la sicurezza delle informazioni, in particolare la valutazione e il trattamento del rischio per la sicurezza delle informazioni.
Questo documento è applicabile a tutte le organizzazioni, indipendentemente dal tipo, dalle dimensioni o dal settore.