ISO/IEC 27005:2008 definiše rizik informacijske sigurnosti kao "potencijal da će pretnja iskoristiti ranjivost imovine i time uzrokovati štetu za organizaciju". Za potpuno razumevanje ovog standarda važno je poznavanje koncepata, modela, procesa i terminologije opisanih u ISO/IEC 27001:2005 i ISO/IEC 27002:2005. Standard ISO/IEC 27005:2008 je primenljiv na sve vrste organizacija (komercijalna preduzeća, vladine agencije, neprofitne organizacije), koje nameravaju da upravljaju rizicima, koji mogu ugroziti bezbednost informacija. Proces upravljanja rizikom može da se primeni na organizaciju kao celinu ili samo na pojedine delove organizacije.

Proces upravljanje rizikom zasniva se i počinje procenom rizika informacione sigurnosti, a sastoji se od sledećih aktivnosti:

• Identifikacije rizika;
• Estimacije rizika;
• Evaluacije rizika.

ISO/IEC 27005:2008 razlikuje dve osnovne vrste imovine, i to:

• Primarna imovina
  • Poslovni procesi i aktivnosti;
  • Informacije.
• Podržavajuća imovina
  • Hardver;
  • Softver;
  • Mreže;
  • Osoblje;
  • Lokacije;
  • Struktura organizacije.

Organizacije treba i da utvrde posledice incidentnih situacija u smislu:

• Vreme popravke;
• Izgubljeno vreme;
• Izgubljena prilika;
• Zdravlje i sigurnost;
• Finansijski troškovi specifičnih veština potrebnih za popravak nastale štete i dr.