ISO/IEC 27017 是針對云服務信息安全的國際標準，基于 ISO/IEC 27001（信息安全管理體系）和 ISO/IEC 27002（安全控制實踐），專門補充了云服務特有的安全控制要求，旨在規范云服務提供商（CSP）與云服務客戶（CSC）的安全責任劃分，保障云環境中的數據和服務安全。

主要適用于云服務提供商（CSP）：如 AWS、阿里云、微軟 Azure 等，規范其服務設計、運營的安全責任。
云服務客戶（CSC）：使用云服務的組織（如企業、政府），指導其選擇、使用云服務時的安全管理。

必備條件：
   基礎前提： 已通過 ISO 27001 認證，且體系覆蓋云服務范圍（IaaS/PaaS/SaaS）。
   核心控制落地： 落實 14 項云專屬措施，重點包括多租戶隔離、數據駐留合規、服務終止數據處理、責任劃分（合同明確 CSP 與 CSC 分工）。
   文檔與運行：  有云服務安全策略、供應商管理程序等文件；體系至少運行 3 個月，完成內部審核和管理評審。
   合規要求：  符合數據保護、跨境傳輸等法規，責任劃分清晰可追溯。

資料清單：
   基礎資料：ISO 27001 認證證書、云服務業務范圍說明（明確 IaaS/PaaS/SaaS 類型）。
      云服務專項文件：
      ·    云服務安全策略、責任劃分協議（CSP 與 CSC 權責合同）；
         ·    多租戶隔離、數據駐留 / 跨境、服務終止數據處理等控制措施文檔。
   運行記錄： 云環境監控日志、客戶數據處理記錄、安全事件響應記錄。
   審核資料： 云服務相關內部審核報告（含整改記錄）、管理評審報告。

服務流程：
           前期準備；
           體系擴展設計；
           文件編制；
           實施與運行；
           內部審核與評審；
           認證審核；

預計完成時間：
  通常在 3-6 個月左右，具體時間會因企業規模、管理基礎以及認證機構的安排等因素有所不同。管理基礎好、規模小的企業可能 3 個月左右完成認證，而規模較大、信息系統復雜的企業，可能需要 6 個月甚至更長時間。


證書樣本：