ISO27001目的是控制风险，将各类信息资产面临的风险控制在可接受的范围之内，从而达到保证信息安全的目的。因此，风险评估是ISO27001的核心基础工作，如果没有全面、准确、及时的风险评估信息，就不可能建立符合ISO27001的信息安全管理体系，也就达不到控制风险、保证信息安全的目的。