ISO/IEC 27017 ergänzt ISO 27002 um spezifische Sicherheitskontrollen für Cloud-Dienste und definiert Richtlinien für Cloud-Anbieter und Kunden. Deckt das Modell der geteilten Verantwortung, die Verwaltung virtueller Maschinen, die Trennung von Multi-Tenant-Umgebungen, den Datenschutz bei Übertragung und Speicherung, Protokollierung, Überwachung und Incident Response in öffentlichen, privaten und hybriden Cloud-Infrastrukturen ab.