A norma 27005 contém a descrição do processo de gestão de riscos de segurança da informação e de suas atividades, mas a parte de comunicação e consulta do risco foi subdividida na norma 27005:CCR, que determina como deve ser o sistema de informação de gerenciamento do risco.