L'ISO 27005 est la première norme à appliquer l'ISO 31000, la norme générique de gestion des risques applicable à tous les métiers, de la gestion des risques opérationnels à la gestion des risques industriels en passant par la gestion des risques dans la santé.
Si l'on se réfère au référentiel de la norme ISO 9001 v2015 le risque est défini par l'effet d'une incertitude sur l'atteinte des objectifs d'une entreprise.
Cela se traduit par un écart positif ou négatif, par rapport à une attente, quelle que soit sa nature : financière, environnementale, sécuritaire…
« Pris en compte dans l'élaboration de la stratégie ainsi que dans toutes les activités de l'organisation, le management du risque est conçu pour identifier les évènements potentiels susceptibles d'affecter l'organisation et pour gérer les risques dans les limites de son appétence pour le risque.