ISO27001 信息安全风险不仅要考虑风险发生的可能性和由此而引起的可能后果，而且要在单一风险基础上，同时考虑各项风险之间的相互关系，对综合安全风险进行分析和评估。因此，信息安全肯定不仅仅和企业自身有关。

我们都知道信息安全风险分为：人员风险、组织风险、物理环境风险、信息机密性／完整性风险、系统风险、通信操作风险、基础设施风险、业务连续性风险、第三方风险、风险评估风险、法律风险和风险决策风险共十二个方面。

因此，ISO27001信息安全体系要求企业在关注自身的风险的同时，也对第三方风险给予足够的重视。