在ISO27001标准中，对风险评估提出了明确的要求。风险评估是信息安全管理体系（ISMS）建立的基础，是发现风险、控制风险、组织平衡安全风险和安全投入的依据，也是ISMS测量业绩、发现改进机会的最重要途径。所以说，风险评估是依据ISO27001建立ISMS必不可少的核心基础工作。