L'ISO 27005 est la première norme à appliquer l'ISO 31000, la norme générique de gestion des risques applicable à tous les métiers, de la gestion des risques opérationnels à la gestion des risques industriels en passant par la gestion des risques dans la santé.
Les organisations qui ont recours à ISO 31000 augmentent leurs chances d'atteindre leurs objectifs.
Elles sont également mieux à même de cerner les opportunités et les menaces et d'allouer et d'utiliser efficacement les ressources pour le management des risques.
Si l'on se réfère au référentiel de la norme ISO 9001 v2015 le risque est défini par l'effet d'une incertitude sur l'atteinte des objectifs d'une entreprise.
Cela se traduit par un écart positif ou négatif, par rapport à une attente, quelle que soit sa nature : financière, environnementale, sécuritaire…