La norme ISO 27002 est la référence pour mettre en œuvre les mesures de traitement des risques de cybersécurité dans un système de management de la sécurité de l'information (SMSI) basé sur l’ISO 27001. Il peut aussi être utilisé comme un catalogue de mesures à l’instar du NIST 800-53, de la CCM pour les environnements Cloud ou le référentiel CIS. Les exigences de sécurité proviennent des analyses de risques, des éléments de conformité (légale, statutaire, réglementaire, clients) et des objectifs métiers. En anglais le terme « control » dans la norme ISO 27002 est défini comme une mesure qui modifie ou maintient le risque. Une politique de sécurité, par exemple, ne peut que maintenir le risque, alors que la conformité à la politique de sécurité de l'information peut modifier le risque. La norme ISO 27017 est une extension de la norme ISO 27002 pour les environnements Cloud.