现在差不多所有的个人和消费层面的应用均为云端应用。但是，在企业、政府和公共服务环境中云服务的采用依然不高。根据Ciphercloud研究，合规性（64%）和数据安全（32%）是云应用最大的两个挑战。

对用户而言，如果一个云服务提供商能提供安心和信心给到其用户，证明其云服务是可靠的、符合适用法规和合同要求的，并对其能采用最好的行业实践，那么该云服务提供商将成为用户的选择。在这种实际需求存在的背景下，ISO/IEC27017应运而生。

对云营运来讲，ISO/IEC27001:2013则是一个很好的标准，但云服务提供商希望看到更多的针对云的控制规范来帮助他们解决云的具体问题。ISO/IEC27017标准正是工业界在产生这些要求后结果的体现。

云服务提供商提供的传统服务级别协议(SLA)主要侧重于数据中心的绩效，如服务器和网络可用性、环境和物理安全问题，以及传统的服务，如备份和监控。云服务有其特定的关注点，它们通常不在服务级别和合同协议中提到。

 标准概述

ISO/IEC27017:2015针对特定于云服务的信息安全控制提供了实施指导：

1. 特定于ISO/IEC27002中相关的控制的额外执行指南；

2. 对与云服务特别相关的执行指导进行额外的控制。

该标准提供了对云服务客户和云服务提供商实施信息安全控制的指导方针。云服务提供商本身也可能是一个云服务的客户（选择下游的云服务提供商如IaaS提供商）。

 ISO/IEC27017实施和认证的好处

1. 提高顾客信心。这两个标准提供的额外控制提供了额外的保证，解决了云特定的技术和合同问题，并提供了保证。

2. 加强治理和风险管理。证书证明了该组织的委员会、技术能力和对云架构中继承的适用风险和附加风险的信心。

3. 减少客户审核。许多客户通过频繁的审核将他们的管理权分配给供应商。该认证提供了一个独立的第三方的证据，证明该组织的云操作不仅受控，而且是按照国际最佳实践基准标准进行控制的。