ISO 27005 presenta información de utilidad para la Gestión de Riesgos en la Seguridad de la Información. ISO 27001 orienta sobre este tipo de riesgos.

ISO 27005 muestra un enfoque directamente centrado en Risk Management para Tecnologías de la Información. Este enfoque tiene que estar alineado con la Gestión de Riesgos Empresarial general de la compañía. Esta norma parte del mismo modelo definido en ISO 31000.

Gracias a esta norma se pueden seguir unas pautas para gestionar riesgos en Tecnologías de la Información, tales como aquellos originados por aplicaciones en condiciones vulnerables, sistemas operativos sin actualizaciones o tecnologías obsoletas, por poner unos ejemplos. ISO 27005 reemplaza a la norma ISO 13335-2 Gestión de Seguridad de la Información y la tecnología de las comunicaciones.

De acuerdo a ISO 27005 se establece un contexto en el que se indica un enfoque y criterios de evaluación, impacto y aceptación. Se definen alcances y límites. Se organiza la Gestión de Riesgos de Seguridad de la Información.

La evaluación de riesgos de Seguridad de la Información comprende la identificación, análisis y evaluación de los riesgos.

La norma ISO 27005 también comprende el tratamiento de riesgos, la aceptación del riesgo, la comunicación y consulta, el monitoreo y revisión.

ISO 27005 se puede aplicar en todas las empresas, independientemente del tipo de organización que sea o de su tamaño. Esta norma facilita la gestión de los riesgos de Seguridad de la Información. Proporciona una orientación detallada para los encargados de implementar el Sistema de Gestión de la Seguridad de la Información (SGSI), profesionales del Risk Management y perfiles de seguridad.