ISO27001规定了对风险评估的要求，但是并没有规定达到这种要求的具体风险评估方法。各类组织可以根据自己的实际状况，选择适用的风险评估。无论选择何种风险评估方法，必须保证风险评估能产生可比较的和可重复的结果，以便反映真实的风险状态和变化趋势，为信息安全管理体系的建立提供可靠的依据。

为了规范信息安全风险评估，ISO专门发布了风险管理标准，各类组织可以按照该标准的方法实施风险评估。该标准的正式名称为：

ISO/IEC 27005：2008 信息技术—安全技术—信息安全风险管理