A norma internacional ISO 31000 foi publicada no final de 2009. Ela fornece princípios e diretrizes genéricas para a Gestão de Riscos e é agora a referência mundial sobre o assunto. A norma pode ser utilizada por qualquer empresa pública, privada, associação, grupo, etc.
Sua aplicação abrange uma ampla gama de atividades dentro de uma empresa, incluindo estratégias, decisões, operações, processos, funções, projetos, produtos, serviços e ativos, bem como pode ser aplicada a qualquer tipo de risco, independentemente de sua natureza, quer tenha consequências positivas ou negativas, estabelecendo uma uma linguagem comum, bem como padronizar as melhores práticas e abordagens para que as organizações possam implementar a gestão de riscos em seus processos
Tem por objetivo geral estabelecer uma linguagem comum, bem como padronizar as melhores práticas e abordagens para que as organizações possam implementar a gestão de riscos em seus processos.

SO 31000 que trata da Gestão de riscos e diferentemente do que alguns imaginam, esta norma não rege a segurança empresarial; contudo, ela é ferramenta indispensável para o gestor de security.
Com o advento da ISO 31000 o gerenciamento de risco deve ser organizado a partir do framework (estrutura) de processos proposto pela norma no qual visa à estruturação da gestão de riscos nas organizações. Apesar de que a ISO 31000 não apresente os métodos que devem ser utilizados para a identificação dos riscos, análise de risco e monitoramento dos riscos os quais serão somente apresentados na ISO 31010, todavia, ela dá a estrutura de como fazer a gestão e apresenta os processos que cada gestor de risco pode seguir, utilizando as ferramentas já existentes e utilizadas hoje, pois nenhuma delas foi invalidada.