Der ISO 31000 ist ein eigener Standard, wie schon der Name zeigt. Er ist nicht zertifizierbar, wird aber immer öfter im übergeordneten Risikomanagement für die Gesamtsteuerung der Risiken einer Organisation herangezogen. Das Risikomanagement der Informationssicherheit nach ISO/IEC 27005 macht es in der Regel leicht, dieses in das Gesamtrisikomanagement, bei Banken normalerweise in das Operational Risk Management (OpRisk), zu integrieren.
Operativ notwendig erscheinen heute Aufbau und Pflege einer Risikomatrix, die vom Top-Management freigegeben ist, eines Risikoinventars und eines Risikobehandlungsplans. Letzter wird in den Standards ISO/IEC 27001 und ISO 22301 explizit gefordert.