Даний стандарт підтримує загальні концепції, визначені в ISO/IEC 27001, і призначений для сприяння адекватного забезпечення інформаційної безпеки на основі підходу, пов'язаного з менеджментом ризику. Знання концепцій, моделей, процесів і термінології, викладених в ISO/IEC 27001 і ISO/IEC 27002, важливо для повного розуміння даного інтернаціонального стандарту.