ISO/IEC 27017 complementa la norma ISO 27002 con controles de seguridad específicos para servicios en la nube, definiendo directrices para proveedores y clientes de la nube. Cubre el modelo de responsabilidad compartida, gestión de máquinas virtuales, segregación de entornos multi-inquilino, protección de datos en tránsito y en reposo, registro, monitoreo y respuesta a incidentes en infraestructuras de nube pública, privada e híbrida.