Tato norma je určena pro organizace všech typů a velikostí. Slouží jako reference pro určení a zavedení opatření pro ošetření rizik informační bezpečnosti v systému managementu informační bezpečnosti (ISMS) založeném na ISO/IEC 27001. Může být také použita jako pokyny pro organizace, které stanovují a zavádějí obecně uznávaná opatření informační bezpečnosti. Kromě toho je tato norma určena k použití při vytváření směrnic pro management informační bezpečnosti specifický pro dané odvětví a organizaci, přičemž se zohlední jejich specifické prostředí (specifická prostředí) pro management rizik informační bezpečnosti. Jiná opatření specifická pro organizaci nebo prostředí než ta, která jsou obsažena v tomto dokumentu, mohou být podle potřeby stanovena na základě posouzení rizik.
