Die ISO/IEC 27017 [1], „Information technology – Security techniques – Code of practice for information security controls based on ISO/IEC 27002 for cloud services”, stellt Richtlinien im Hinblick auf Cloud-Services bereit. Sie nennt zum einen Implementierungsanleitungen zu Cloud-relevanten Sicherheitsmaßnahmen der ISO/IEC 27002. Zum anderen stellt sie zusätzliche Sicherheitsmaßnahmen für Cloud-Services samt Implementierungsanleitung zur Verfügung. Der Standard richtet sich an Anbieter und Kunden von Cloud-Services. Mit der ISO/IEC 27017 identisch ist die ITU-T X.1631 [2] der International Telecommunication Union, die auch den gleichen Titel trägt. Die Empfehlungen X.1600–X.1699 behandeln Cloud computing security.

Die Anfangskapitel der ISO/IEC 27017 gehen ein auf den Anwendungsbereich, normative Verweisungen sowie auf Begriffe und deren Definitionen. Dazu gehören u. a. die Begriffe Leistungsfähigkeit (capability) und virtuelle Maschine (virtual machine). Eine virtuelle Maschine stellt die komplette Umgebung zur Ausführung von Gast-Software dar. Als Abkürzungen genannt sind u. a. IaaS (Infrastructure as a Service), PII (Personally Identifiable Information) und VM (Virtual Machine).