ISO/IEC FDIS 27017

FINAL DRAFT
International
Standard
ISO/IEC FDIS
ISO/IEC JTC 1/SC 27
Information security, cybersecurity
Secretariat: DIN
and privacy protection —
Voting begins on:
Information security controls based
2026-04-06
on ISO/IEC 27002 for cloud services
Voting terminates on:
2026-06-01
Sécurité de l'information, cybersécurité et protection de la vie
privée — Contrôles de sécurité de l'information fondés sur l'ISO/
IEC 27002 pour les services du nuage
RECIPIENTS OF THIS DRAFT ARE INVITED TO SUBMIT,
WITH THEIR COMMENTS, NOTIFICATION OF ANY
RELEVANT PATENT RIGHTS OF WHICH THEY ARE AWARE
AND TO PROVIDE SUPPOR TING DOCUMENTATION.
IN ADDITION TO THEIR EVALUATION AS
BEING ACCEPTABLE FOR INDUSTRIAL, TECHNO­
ISO/CEN PARALLEL PROCESSING LOGICAL, COMMERCIAL AND USER PURPOSES, DRAFT
INTERNATIONAL STANDARDS MAY ON OCCASION HAVE
TO BE CONSIDERED IN THE LIGHT OF THEIR POTENTIAL
TO BECOME STAN DARDS TO WHICH REFERENCE MAY BE
MADE IN NATIONAL REGULATIONS.
Horizontal document
Reference number
FINAL DRAFT
International
Standard
ISO/IEC FDIS
ISO/IEC JTC 1/SC 27
Information security, cybersecurity
Secretariat: DIN
and privacy protection —
Voting begins on:
Information security controls based
on ISO/IEC 27002 for cloud services
Voting terminates on:
Sécurité de l'information, cybersécurité et protection de la vie
privée — Contrôles de sécurité de l'information fondés sur l'ISO/
IEC 27002 pour les services du nuage
RECIPIENTS OF THIS DRAFT ARE INVITED TO SUBMIT,
WITH THEIR COMMENTS, NOTIFICATION OF ANY
RELEVANT PATENT RIGHTS OF WHICH THEY ARE AWARE
AND TO PROVIDE SUPPOR TING DOCUMENTATION.
© ISO/IEC 2026
IN ADDITION TO THEIR EVALUATION AS
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
BEING ACCEPTABLE FOR INDUSTRIAL, TECHNO­
ISO/CEN PARALLEL PROCESSING
LOGICAL, COMMERCIAL AND USER PURPOSES, DRAFT
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting on
INTERNATIONAL STANDARDS MAY ON OCCASION HAVE
the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address below
TO BE CONSIDERED IN THE LIGHT OF THEIR POTENTIAL
or ISO’s member body in the country of the requester.
TO BECOME STAN DARDS TO WHICH REFERENCE MAY BE
MADE IN NATIONAL REGULATIONS.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Email: copyright@iso.org
Website: www.iso.org
Horizontal document
Published in Switzerland Reference number
© ISO/IEC 2026 – All rights reserved
ii
Contents Page
Foreword .vi
Introduction .vii
1 Scope . 1
2 Normative references . 1
3 Terms, definitions and abbreviated terms . 1
3.1 Terms and definitions .1
3.2 Abbreviated terms .2
4 Guidance for using this document . . 2
4.1 Relation between this document and ISO/IEC 27002:2022 .2
4.2 Structure of this document .3
4.3 Cloud computing specific concepts .3
4.3.1 Supplier relationships in cloud services .3
4.3.2 Relationships between CSCs and CSPs.3
4.3.3 Managing information security risks in cloud services .4
5 Cloud service specific guidance related to organizational controls . 5
5.1 Policies for information security . .5
5.2 Information security roles and responsibilities .6
5.3 Segregation of duties.6
5.4 Management responsibilities .6
5.5 Contact with authorities .6
5.6 Contact with special interest groups . .6
5.7 Threat intelligence .7
5.8 Information security in project management .7
5.9 Inventory of information and other associated assets .7
5.10 Acceptable use of information and other associated assets .7
5.11 Return of assets .8
5.12 Classification of information .8
5.13 Labelling of information .8
5.14 Information transfer .8
5.15 Access control .8
5.16 Identity management .8
5.17 Authentication information .9
5.18 Access rights .9
5.19 Information security in supplier relationships .9
5.20 Addressing information security within supplier agreements .9
5.21 Managing information security in the ICT supply chain .10
5.22 Monitoring, review and change management of supplier services .10
5.23 Information security for use of cloud services .11
5.24 Information security incident management planning and preparation .11
5.25 Assessment and decision on information security events .11
5.26 Response to information security incidents .11
5.27 Learning from information security incidents .11
5.28 Collection of evidence . .11
5.29 Information security during disruption . 12
5.30 ICT readiness for business continuity . 12
5.31 Identification of legal, statutory, regulatory and contractual requirements . 12
5.32 Intellectual property rights . 13
5.33 Protection of records .14
5.34 Privacy and protection of PII .14
5.35 Independent review of information security .14
5.36 Compliance with policies and standards for information security .14
5.37 Documented operating procedures .14
5.38 CLD - Shared roles and responsibilities within a cloud computing environment . 15

© ISO/IEC 2026 – All rights reserved
iii
5.39 CLD - Agreement on the roles and responsibilities of the cloud service partner .16
6 Cloud service specific guidance related to people controls . 17
6.1 Screening .17
6.2 Terms and conditions of employment .17
6.3 Information security awareness, education and training .17
6.4 Disciplinary process .18
6.5 Responsibilities after termination or change of employment.18
6.6 Confidentiality or non-disclosure agreements .18
6.7 Remote working .18
6.8 Information security event reporting.18
7 Cloud service specific guidance related to physical controls . 19
7.1 Physical security perimeter .19
7.2 Physical entry controls.19
7.3 Securing offices, rooms and facilities .19
7.4 Physical security monitoring . .19
7.5 Protecting against physical and environmental threats .19
7.6 Working in secure areas .19
7.7 Clear desk and clear screen .19
7.8 Equipment siting and protection .19
7.9 Security of assets off-premises .19
7.10 Storage media .19
7.11 Supporting utilities .19
7.12 Cabling security .19
7.13 Equipment maintenance .19
7.14 Secure disposal or re-use of equipment . 20
8 Cloud service specific guidance related to technological controls .20
8.1 User end point devices . 20
8.2 Privileged access rights . 20
8.3 Information access restriction . 20
8.4 Access to source code .21
8.5 Secure authentication .21
8.6 Capacity management .21
8.7 Protection against malware . 22
8.8 Management of technical vulnerabilities . 22
8.9 Configuration management . 22
8.10 Information deletion . 23
8.11 Data masking . 23
8.12 Data leakage prevention . 23
8.13 Information backup.24
8.14 Redundancy of information processing facilities .24
8.15 Logging .24
8.16 Monitoring activities . 25
8.17 Clock synchronization . 25
8.18 Use of privileged utility programs . 26
8.19 Installation of software on operational systems . 26
8.20 Network controls . 26
8.21 Security of network services .27
8.22 Segregation in networks .27
8.23 Web filtering .27
8.24 Use of cryptography .27
8.25 Secure development life cycle . 28
8.26 Application security requirements . 28
8.27 Secure system architecture and engineering principles . 28
8.28 Secure coding. 29
8.29 Security testing in development and acceptance . 29
8.30 Outsourced development . 29
8.31 Separation of development, test and production environments. 29

© ISO/IEC 2026 – All rights reserved
iv
8.32 Change management . 29
8.33 Test information . 29
8.34 Protection of information systems during audit and testing . 30
8.35 CLD - Segregation in virtual computing environments . 30
8.36 CLD - Detection and prevention of unauthorized use of cloud services .31
Annex A (Informative) Correspondence between this document and the first edition (ISO/IEC
27017:2015) .32
Annex B (informative) Monitoring of cloud services .37
Bibliography .38

© ISO/IEC 2026 – All rights reserved
v
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical
Commission) form the specialized system for worldwide standardization. National bodies that are
members of ISO or IEC participate in the development of International Standards through technical
committees established by the respective organization to deal with particular fields of technical activity.
ISO and IEC technical committees collaborate in fields of mutual interest. Other international organizations,
governmental and non-governmental, in liaison with ISO and IEC, also take part in the work.
The procedures used to develop this document and those intended for its further maintenance are described
in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the different types
of document should be noted. This document was drafted in accordance with the editorial rules of the ISO/
IEC Directives, Part 2 (see www.iso.org/directives or www.iec.ch/members_experts/refdocs).
ISO and IEC draw attention to the possibility that the implementation of this document may involve the
use of (a) patent(s). ISO and IEC take no position concerning the evidence, validity or applicability of any
claimed patent rights in respect thereof. As of the date of publication of this document, ISO and IEC had not
received notice of (a) patent(s) which may be required to implement this document. However, implementers
are cautioned that this may not represent the latest information, which may be obtained from the patent
database available at www.iso.org/patents and https://patents.iec.ch. ISO and IEC shall not be held
responsible for identifying any or all such patent rights.
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and expressions
related to conformity assessment, as well as information about ISO's adherence to the World Trade
Organization (WTO) principles in the Technical Barriers to Trade (TBT) see www.iso.org/iso/foreword.html.
In the IEC, see www.iec.ch/understanding-standards.
This document was prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology,
Subcommittee SC 27, Information security, cybersecurity and privacy protection, in collaboration with
ITU- T (as Rec. ITU-T X.163), and in collaboration with the European Committee for Standardization (CEN)
Technical Committee CEN/CLC/JTC 13, Cybersecurity and Data Protection, in accordance with the Agreement
on technical cooperation between ISO and CEN (Vienna Agreement).
This second edition cancels and replaces the first edition (ISO/IEC 27017:2015 | Rec. ITU-T X.1631:2015),
which has been technically revised.
The main changes are as follows:
— the title and the scope have been modified;
— the structure of the document has been changed, presenting the controls using a simple taxonomy and
associated attributes;
— some controls have been merged, some have been removed and several new controls have been
introduced.
This document has been given the status of a horizontal document in accordance with the ISO/IEC Directives,
Part 1.
Any feedback or questions on this document should be directed to the user’s national standards
body. A complete listing of these bodies can be found at www.iso.org/members.html and
www.iec.ch/national-committees.

© ISO/IEC 2026 – All rights reserved
vi
Introduction
The guidance contained within this document is aligned with and complements the guidance given in
ISO/IEC 27002.
Specifically, this document provides guidance supporting the implementation of information security
controls for cloud service customers (CSCs) and cloud service providers (CSPs). Some guidance is intended
for CSCs who implement the controls and other guidance is for CSPs to support the implementation of those
controls. The determination of the appropriate information security controls and the extent of the utilization
of the guidance provided depends on the results of the relevant risk assessment and the existence of any
legal, regulatory, contractual, or other cloud-computing specific information security requirements.

© ISO/IEC 2026 – All rights reserved
vii
FINAL DRAFT International Standard ISO/IEC FDIS 27017:2026(en)
Information security, cybersecurity and privacy protection —
Information security controls based on ISO/IEC 27002 for
cloud services
1 Scope
This document provides guidance for information security controls, based on ISO/IEC 27002, applicable to
the provision and use of cloud services. This document provides:
— additional guidance for relevant controls specified in ISO/IEC 27002:2022;
— additional controls with guidance that specifically relate to cloud services.
This document provides controls and guidance for CSCs and CSPs.
This document is considered to be a horizontal document as it provides a foundation and a common
understanding of security regarding the provision and use of cloud services.
NOTE This document applies to all types of cloud deployment models including the private cloud. When applying
this document to the private cloud, the controls and guidance of this document are applicable, although adjustments
can be necessary to adapt to the relationships and abilities of an organization’s internal departments.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content constitutes
requirements of this document. For dated references, only the edition cited applies. For undated references,
the latest edition of the referenced document (including any amendments) applies.
ISO/IEC 22123-1, Information technology — Cloud computing — Part 1: Vocabulary
ISO/IEC 27002:2022, Information security, cybersecurity and privacy protection — Information security
controls
3 Terms, definitions and abbreviated terms
3.1 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO/IEC 27002, ISO/IEC 22123-1 and
the following apply.
ISO and IEC maintain terminology databases for use in standardization at the following addresses:
— ISO Online browsing platform: available at https:// www .iso .org/ obp
— IEC Electropedia: available at https:// www .electropedia .org/
3.1.1
capability
ability to perform a specific activity
[SOURCE: ISO 19440:2020, 3.5]
© ISO/IEC 2026 – All rights reserved
3.2 Abbreviated terms
API application programming interface
CSC cloud service customer
CSN cloud service partner
CSP cloud service provider
CSU cloud service user
IaaS infrastructure as a service
ICT information and communication technology
PaaS platform as a service
PII personally identifiable information
RTO recovery time objective
RPO recovery point objective
SaaS software as a service
SLA service level agreement
4 Guidance for using this document
4.1 Relation between this document and ISO/IEC 27002:2022
This document provides:
— additional guidance specific to cloud services to ISO/IEC 27002:2022 controls;
— additional controls with guidance to address information security risks specific to cloud services.
This document refers to the attributes, controls, purposes, guidance and other information from
ISO/IEC 27002:2022, Clauses 5 to 8. Owing to the general applicability of ISO/IEC 27002:2022, many of the
controls, guidance and other information apply to both the general and cloud computing contexts of an
organization. For example, ISO/IEC 27002:2022, 5.3, “Segregation of duties” provides a control that can be
applied whether the organization is acting as a CSP or not. Additionally, a CSC can derive requirements for
segregation of duties in the cloud computing environment from the same control, e.g. a CSC segregating the
CSCs' cloud service administrators from other CSUs.
This document also provides attributes, controls, purposes, guidance and other information that are specific
to cloud services and are intended to mitigate the risks that accompany the technical and operational
features of cloud services (see 5.38, 5.39, 8.35 and 8.36). Annex A provides the mappings between the set of
1)
controls of this document and the previous edition (ISO/IEC 27017:2015 ).
The CSCs and the CSPs can refer to ISO/IEC 27002:2022 and this document to identify guidance on general
and cloud service specific controls as necessary. This process can be done by performing an information
security risk assessment and risk treatment in the organizational and business context where cloud services
are used or provided (see 4.3.3).
1) Cancelled and replaced by this document (ISO/IEC 27017:—).

© ISO/IEC 2026 – All rights reserved
4.2 Structure of this document
This document follows the structure used in ISO/IEC 27002:2022 for the description of controls.
This document adapts the information security controls included in ISO/IEC 27002:2022, Clauses 5 to 8 to
better fit cloud computing. As in ISO/IEC 27002:2022, the categorization of controls given in Clauses 5 to 8
are referred to as themes and the attributes of each control identified in ISO/IEC 27002:2022 also apply.
When controls specified in ISO/IEC 27002:2022 are applicable to both the CSCs and the CSP without a need
for any additional information, only a reference to ISO/IEC 27002:2022 is provided.
In addition to the controls of ISO/IEC 27002:2022, cloud service extended controls are prefixed with “CLD”
(CLouD service extended controls). When a control specified in ISO/IEC 27002:2022 needs additional
guidance that is specific to cloud services related to the control, it is given as “guidance for cloud services”.
The guidance is provided in one of the following two types:
— Type 1 (shown in Table 1), used when there is separate guidance for the CSC and the CSP;
— Type 2 (shown in Table 2), used when the guidance is the same for both the CSC and the CSP.
Table 1 — Type 1
CSC CSP
CSC guidance CSP guidance
Table 2 — Type 2
CSC CSP
CSC and CSP guidance
4.3 Cloud computing specific concepts
4.3.1 Supplier relationships in cloud services
ISO/IEC 27002:2022, 5.19 to 5.22 provide controls, the purpose of each control, guidance and other
information for managing information security in supplier relationships. The provision and use of cloud
services is similar to supplier relationship, where the CSC is an acquirer and the CSP is a supplier. Therefore,
ISO/IEC 27002:2022, 5.19 to 5.22 apply to CSCs and CSPs.
CSCs and CSPs can also form a supply chain. For example, a CSP provides a cloud service of infrastructure
capabilities type. On top of this service, another CSP can provide a cloud service of application capabilities
type. In this case, the second CSP is a CSC with respect to the first, and a CSP with respect to the CSC using
its service. In this scenario, the organization has both CSC and CSP roles. Every organization should consider
which controls are applicable to it in its roles as the CSC and the CSP. This example illustrates the case where
this document applies to an organization both as a CSC and as a CSP. Since CSCs and CSPs form a supply
chain through the provision and use of the cloud service, ISO/IEC 27002:2022, 5.21 applies as it covers the
management of information security in the ICT supply chain.
The ISO/IEC 27036 series provide detailed guidance on the information security in supplier relationships
to the acquirer and supplier of products and services. ISO/IEC 27036-4 deals directly with information
security of cloud services in supplier relationships. ISO/IEC 27036-4 is also applicable to CSCs as acquirers
and CSPs as suppliers.
4.3.2 Relationships between CSCs and CSPs
In the cloud computing environment, CSC data are stored, transmitted and processed by a cloud service.
Therefore, a CSC's business processes depend upon the information security of the cloud service. Without
sufficient control over the cloud service, it can be necessary for the CSC to take extra precautions with its
own information security practices.

© ISO/IEC 2026 – All rights reserved
Before entering into a supplier relationship, the CSC is expected to select a cloud service, taking into account
the possible gaps between the CSC's information security requirements and the information security
capabilities offered by the service. Once a cloud service is selected, the CSC should manage the use of the
cloud service in such a way as to meet its own information security requirements. In this relationship,
collaborative effort between the CSC and the CSP for the use and provision of the cloud service is necessary
for the CSC to achieve its objectives for information security management. It includes shared roles and
responsibilities between the CSC and the CSP. The CSP should provide the information and technical support
that are necessary to meet the CSC's information security requirements. When the information security
controls provided by the CSP are pre-set and cannot be changed by the CSC, it is possible that the CSC
implements additional controls of its own to mitigate risks. More information on allocation of the shared
roles and responsibilities can be found in 5.38.
It is important to understand that there are different cloud deployment models that are used in cloud
computing environments. Some of the cloud deployment models include:
— private cloud;
— public cloud;
— multi-cloud;
— federated cloud;
— hybrid cloud;
— hybrid multi-cloud;
— inter-cloud.
There are three fundamental approaches that can be taken in these different cloud deployment models.
— The CSC controls and manages the cloud services that are being delivered by each of the CSPs including
their orchestration into a cloud solution (e.g. multi-cloud).
— One CSP combines the cloud services from multiple CSPs with varying degrees of orchestration, control
and management activities (e.g. inter-cloud).
— Multiple CSPs form a partnership through out-of-band collaboration and share their resources to
create cloud services (e.g. federated cloud which uses a cloud service federation management system to
orchestrate access to the CSPs resources).
It is important to note that these approaches are not mutually exclusive and it is possible to combine them.
Further explanation of these cloud deployment models can be found in ISO/IEC 5140.
4.3.3 Managing information security risks in cloud services
CSCs and CSPs should both have information security risk management processes in place. They can refer
to ISO/IEC 27001 for the requirements related to risk management for information security management
systems, and to ISO/IEC 27005 for further guidance on information security risk management itself.
ISO 31000, to which ISO/IEC 27001 and ISO/IEC 27005 are aligned, can also help with a general understanding
of risk management.
The controls and guidance provide CSCs with:
— guidance on information security measures relating to the use of cloud services;
— guidance on information and capabilities of the cloud services to be obtained from CSPs.
The controls and guidance also cover how CSPs can provide information and capabilities as a part of the
cloud services to support CSCs’ information security risk management. The information and capabilities can
be provided in agreements and other documents available for CSCs.

© ISO/IEC 2026 – All rights reserved
5 Cloud service specific guidance related to organizational controls
5.1 Policies for information security
The attributes, control, purpose, guidance and other information stated in ISO/IEC 27002:2022, 5.1 apply. In
addition, the following guidance shown in Table 3 and other information for cloud services also apply.
a) Guidance for cloud services
Table 3 — Guidance for policies for information security
CSC CSP
An information security policy on the use of cloud servic- Rules for the provision of the cloud service should be
es should be defined as a topic-specific policy of the CSC. defined to support the information security of the CSC,
address the provision and use of its cloud services taking
the following into account:
The CSC’s information security policy on the use of cloud — the baseline information security requirements
services should be consistent with the organization’s applicable to the design and implementation of the
acceptable levels of information security risks for its cloud service;
information and other associated assets.
— multi-tenancy and CSC isolation;
When defining the information security policy on the use
of cloud services, the CSC should take the following into
— virtualization of resources including servers,
account:
containers, and networks;
— information stored in the cloud computing — access to the CSC data and cloud service derived data
environment subject to access and management by by the personnel of the CSP;
the CSP;
— access control procedures, e.g. strong authentication
— assets maintained in the cloud computing for administrative access to cloud services;
environment, e.g. virtual machine instances, cloud
— life cycle management of CSC accounts;
storage buckets;
— communications to CSCs during change management;
— processes run on a multi-tenant, virtualized cloud
service;
— communication of breaches and information sharing
guidelines to aid investigations and forensics.
— access level of the CSUs and the context in which they
use the cloud service;
— the cloud service administrators of the CSC who have
privileged access;
— the geographical locations of the CSP’s organization
and the countries where the CSP can store and
process the CSC data and cloud service derived data
(even temporarily);
— the possibility of unauthorized uses of cloud services.
b) Other information for cloud services
The information security policy for the use of cloud services of the CSC is one of the topic-specific policies
described in ISO/IEC 27002:2022, 5.1. The information security policy of an organization deals with its
information and business processes. When an organization uses cloud services, it can have a policy for cloud
computing as a CSC. An organization’s information can be stored and maintained in the cloud computing
environment, and the business processes take into consideration the cloud computing environment. General
information security requirements stated in the information security policy at the top level are followed by
the topic-specific policy on the use of cloud services.
In contrast to this, the rules for provision of the cloud services deals with the CSCs’ information and business
processes, not with the CSP’s information and business processes. The rule should address information
security in the cloud service environment and provision of functions and information supporting the CSCs’

© ISO/IEC 2026 – All rights
...

Formatted
...
Style Definition
...
Style Definition
...
Style Definition
...
Style Definition
...
Style Definition
...
ISO/IEC JTC 1/SC 27
Style Definition
...
Style Definition
...
Secretariat: DIN
Style Definition
...
Date: 2025-08-052026-03-23
Style Definition
...
Style Definition
...
Horizontal publication
Style Definition
...
Style Definition
...
Style Definition
...
Style Definition
...
Style Definition
...
Information security, cybersecurity and privacy protection — —
Style Definition
...
Information security controls based on ISO/IEC 27002 for cloud
Style Definition
...
services
Style Definition
...
Style Definition
...
Sécurité de l'information, cybersécurité et protection de la vie privée — Contrôles de sécurité de l'information
Style Definition
fondés sur l'ISO/IEC 27002 pour les services du nuage
...
Style Definition
...
Style Definition
...
Style Definition
...
Style Definition
...
Style Definition
...
Style Definition
...
Style Definition
...
Style Definition
...
FDIS stage
Style Definition
...
Style Definition
...
Style Definition
...
Style Definition
...
Style Definition
...
Style Definition
...
Style Definition
...
TThhiiss d drraftaft i iss s suubbmmiitttteded t too a pa pararallel vallel vootte e iinn I ISSOO,, C CEENN.
Style Definition
...
Style Definition
...
Style Definition
...
Style Definition
...
Style Definition
...
Style Definition
...
Style Definition
...
Style Definition
...
Style Definition
...
Style Definition
...
Style Definition
...
Style Definition
...
Style Definition
...
Style Definition
...
Style Definition
...
Style Definition
...
Style Definition
...
Style Definition
...
Style Definition
...
Style Definition
...
Style Definition
...
St l D fi iti
Formatted: Font: Bold
Formatted: HeaderCentered
© ISO/IEC 20252026
Formatted: Default Paragraph Font
Formatted: Adjust space between Latin and Asian text,
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication
Adjust space between Asian text and numbers
may be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying,
or posting on the internet or an intranet, without prior written permission. Permission can be requested from either ISO
Formatted: Right: 1.5 cm, Bottom: 1 cm, Gutter: 0 cm,
at the address below or ISO’s member body in the country of the requester.
Header distance from edge: 1.27 cm, Footer distance
from edge: 0.5 cm
ISO copyright office
CP 401 • Ch. Dede Blandonnet 8
CH-1214 Vernier, Geneva
Phone: + 41 22 749 01 11
EmailE-mail: copyright@iso.org
Formatted: German (Germany)
Website: www.iso.orgwww.iso.org
Published in Switzerland
Formatted: English (United Kingdom)

Formatted: Font: 10 pt
Formatted: Font: 10 pt
Formatted: Font: 11 pt
Formatted: FooterPageRomanNumber, Space After: 0
pt, Line spacing: single
ii © ISO #### /IEC 2026 – All rights reserved
ii
ISO/IEC DISFDIS 27017:20252026(en)
Formatted: Font: Bold
Formatted: Font: Bold
Formatted: Font: Bold
Contents
Formatted: HeaderCentered, Left
Formatted: Adjust space between Latin and Asian text,
Foreword . viii
Adjust space between Asian text and numbers
Introduction . x
1 Scope . 1
2 Normative references . 1
3 Terms, definitions and abbreviated terms . 1
3.1 Terms and definitions . 1
3.2 Abbreviated terms . 2
4 Guidance for using this document . 2
4.1 Relation between this document and ISO/IEC 27002:2022 . 2
4.2 Structure of this document . 3
4.3 Cloud computing specific concepts . 3
5 Cloud service specific guidance related to organizational controls . 5
5.1 Policies for information security . 5
5.2 Information security roles and responsibilities . 6
5.3 Segregation of duties . 7
5.4 Management responsibilities . 7
5.5 Contact with authorities . 7
5.6 Contact with special interest groups . 7
5.7 Threat intelligence . 7
5.8 Information security in project management . 7
5.9 Inventory of information and other associated assets . 8
5.10 Acceptable use of information and other associated assets. 8
5.11 Return of assets . 8
5.12 Classification of information . 9
5.13 Labelling of information . 9
5.14 Information transfer . 9
5.15 Access control. 9
5.16 Identity management . 9
5.17 Authentication information . 10
5.18 Access rights . 10
5.19 Information security in supplier relationships . 10
5.20 Addressing information security within supplier agreements . 10
5.21 Managing information security in the ICT supply chain . 11
5.22 Monitoring, review and change management of supplier services . 12
5.23 Information security for use of cloud services . 12
5.24 Information security incident management planning and preparation . 12
5.25 Assessment and decision on information security events . 13
5.26 Response to information security incidents . 13
5.27 Learning from information security incidents . 13
5.28 Collection of evidence . 13
5.29 Information security during disruption . 13
5.30 ICT readiness for business continuity . 13
Formatted: Font: 10 pt
5.31 Identification of legal, statutory, regulatory and contractual requirements . 14
Formatted: Font: 10 pt
5.32 Intellectual property rights . 15
5.33 Protection of records . 15
Formatted: FooterCentered, Left, Space Before: 0 pt,
5.34 Privacy and protection of PII . 15 Tab stops: Not at 17.2 cm
5.35 Independent review of information security . 16
Formatted: Font: 11 pt
5.36 Compliance with policies and standards for information security . 16
Formatted: FooterPageRomanNumber, Left, Space
5.37 Documented operating procedures . 16
After: 0 pt, Tab stops: Not at 17.2 cm
© ISO/IEC 20252026 – All rights reserved
iii
Formatted: Font: Bold
Formatted: HeaderCentered
5.38 CLD - Shared roles and responsibilities within a cloud computing environment . 17
5.39 CLD - Agreement on the roles and responsibilities of the cloud service partner . 18
6 Cloud service specific guidance related to people controls . 20
6.1 Screening . 20
6.2 Terms and conditions of employment . 20
6.3 Information security awareness, education and training . 20
6.4 Disciplinary process . 20
6.5 Responsibilities after termination or change of employment . 20
6.6 Confidentiality or non-disclosure agreements . 21
6.7 Remote working . 21
6.8 Information security event reporting . 21
7 Cloud service specific guidance related to physical controls . 21
7.1 Physical security perimeter . 21
7.2 Physical entry controls . 21
7.3 Securing offices, rooms and facilities . 21
7.4 Physical security monitoring . 21
7.5 Protecting against physical and environmental threats . 22
7.6 Working in secure areas . 22
7.7 Clear desk and clear screen . 22
7.8 Equipment siting and protection . 22
7.9 Security of assets off-premises . 22
7.10 Storage media . 22
7.11 Supporting utilities . 22
7.12 Cabling security . 22
7.13 Equipment maintenance . 22
7.14 Secure disposal or re-use of equipment . 22
8 Cloud service specific guidance related to technological controls . 23
8.1 User end point devices . 23
8.2 Privileged access rights . 23
8.3 Information access restriction . 23
8.4 Access to source code . 24
8.5 Secure authentication . 24
8.6 Capacity management . 24
8.7 Protection against malware . 25
8.8 Management of technical vulnerabilities . 25
8.9 Configuration management . 25
8.10 Information deletion . 26
8.11 Data masking . 27
8.12 Data leakage prevention . 27
8.13 Information backup . 27
8.14 Redundancy of information processing facilities . 28
8.15 Logging . 28
8.16 Monitoring activities . 29
8.17 Clock synchronization . 29
8.18 Use of privileged utility programs . 30
8.19 Installation of software on operational systems . 30
8.20 Network controls . 30
8.21 Security of network services. 31
Formatted: Font: 10 pt
8.22 Segregation in networks . 31
Formatted: Font: 10 pt
8.23 Web filtering . 31
8.24 Use of cryptography . 31
Formatted: Font: 11 pt
8.25 Secure development life cycle . 32
Formatted: FooterPageRomanNumber, Space After: 0
8.26 Application security requirements . 32
pt, Line spacing: single
iv © ISO #### /IEC 2026 – All rights reserved
iv
ISO/IEC DISFDIS 27017:20252026(en)
Formatted: Font: Bold
Formatted: Font: Bold
Formatted: Font: Bold
8.27 Secure system architecture and engineering principles . 32
Formatted: HeaderCentered, Left
8.28 Secure coding . 32
8.29 Security testing in development and acceptance . 33
8.30 Outsourced development . 33
8.31 Separation of development, test and production environments . 33
8.32 Change management . 33
8.33 Test information . 34
8.34 Protection of information systems during audit and testing . 34
8.35 CLD - Segregation in virtual computing environments . 34
8.36 CLD - Detection and prevention of unauthorized use of cloud services . 35
Annex A (Informative) Correspondence between this document and the first edition (ISO/IEC
27017:2015) . 37
Annex B (informative) Monitoring of cloud services . 42
Bibliography . 44

Foreword . vi
Introduction . viii
1 Scope . 1
2 Normative references . 1
3 Terms, definitions and abbreviated terms . 1
3.1 Terms and definitions . 1
3.2 Abbreviated terms . 2
4 Guidance for using this document . 2
4.1 Relationship between this document and ISO/IEC 27002:2022 . 2
4.2 Structure of this document . 2
4.3 Cloud computing specific concepts . 3
4.3.1 Supplier relationships in cloud services . 3
4.3.2 Relationships between CSCs and CSPs . 3
4.3.3 Managing information security risks in cloud services . 4
5 Cloud service specific guidance related to organizational controls . 5
5.1 Policies for information security . 5
5.2 Information security roles and responsibilities . 6
5.3 Segregation of duties . 6
5.4 Management responsibilities . 6
5.5 Contact with authorities . 6
5.6 Contact with special interest groups . 7
5.7 Threat intelligence . 7
5.8 Information security in project management . 7
5.9 Inventory of information and other associated assets . 7
5.10 Acceptable use of information and other associated assets. 8
Formatted: Font: 10 pt
5.11 Return of assets . 8
Formatted: Font: 10 pt
5.12 Classification of information . 8
5.13 Labelling of information . 8
Formatted: FooterCentered, Left, Space Before: 0 pt,
5.14 Information transfer . 9
Tab stops: Not at 17.2 cm
5.15 Access control. 9
Formatted: Font: 11 pt
5.16 Identity management . 9
Formatted: FooterPageRomanNumber, Left, Space
5.17 Authentication information . 9
After: 0 pt, Tab stops: Not at 17.2 cm
© ISO/IEC 20252026 – All rights reserved
v
Formatted: Font: Bold
Formatted: HeaderCentered
5.18 Access rights . 10
5.19 Information security in supplier relationships . 10
5.20 Addressing information security within supplier agreements . 10
5.21 Managing information security in the ICT supply chain . 11
5.22 Monitoring, review and change management of supplier services . 11
5.23 Information security for use of cloud services . 11
5.24 Information security incident management planning and preparation . 11
5.25 Assessment and decision on information security events . 12
5.26 Response to information security incidents . 12
5.27 Learning from information security incidents . 12
5.28 Collection of evidence . 12
5.29 Information security during disruption . 13
5.30 ICT readiness for business continuity . 13
5.31 Identification of legal, statutory, regulatory and contractual requirements . 13
5.32 Intellectual property rights . 14
5.33 Protection of records . 15
5.34 Privacy and protection of PII . 15
5.35 Independent review of information security . 15
5.36 Compliance with policies and standards for information security . 15
5.37 Documented operating procedures . 16
5.38 CLD - Shared roles and responsibilities within a cloud computing environment . 16
5.39 CLD - Agreement on the roles and responsibilities of the cloud service partner . 17
6 Cloud service specific guidance related to people controls . 18
6.1 Screening . 18
6.2 Terms and conditions of employment . 18
6.3 Information security awareness, education and training . 18
6.4 Disciplinary process . 19
6.5 Responsibilities after termination or change of employment . 19
6.6 Confidentiality or non-disclosure agreements . 19
6.7 Remote working . 19
6.8 Information security event reporting . 19
7 Cloud service specific guidance related to physical controls . 20
7.1 Physical security perimeter . 20
7.2 Physical entry controls . 20
7.3 Securing offices, rooms and facilities . 20
7.4 Physical security monitoring . 20
7.5 Protecting against physical and environmental threats . 20
7.6 Working in secure areas . 20
7.7 Clear desk and clear screen . 20
7.8 Equipment siting and protection . 20
7.9 Security of assets off-premises . 20
7.10 Storage media . 20
7.11 Supporting utilities . 20
7.12 Cabling security . 21
7.13 Equipment maintenance . 21
7.14 Secure disposal or re-use of equipment . 21
8 Cloud service specific guidance related to technological controls . 21
8.1 User endpoint devices . 21
Formatted: Font: 10 pt
8.2 Privileged access rights . 21
Formatted: Font: 10 pt
8.3 Information access restriction . 22
8.4 Access to source code . 22
Formatted: Font: 11 pt
8.5 Secure authentication . 22
Formatted: FooterPageRomanNumber, Space After: 0
8.6 Capacity management . 22
pt, Line spacing: single
vi © ISO #### /IEC 2026 – All rights reserved
vi
ISO/IEC DISFDIS 27017:20252026(en)
Formatted: Font: Bold
Formatted: Font: Bold
Formatted: Font: Bold
8.7 Protection against malware . 23
Formatted: HeaderCentered, Left
8.8 Management of technical vulnerabilities . 23
8.9 Configuration management . 23
8.10 Information deletion . 24
8.11 Data masking . 25
8.12 Data leakage prevention . 25
8.13 Information backup . 25
8.14 Redundancy of information processing facilities . 26
8.15 Logging . 26
8.16 Monitoring activities . 27
8.17 Clock synchronization . 27
8.18 Use of privileged utility programs . 28
8.19 Installation of software on operational systems . 28
8.20 Network controls . 28
8.21 Security of network services. 29
8.22 Segregation in networks . 29
8.23 Web filtering . 29
8.24 Use of cryptography . 29
8.25 Secure development lifecycle . 30
8.26 Application security requirements . 30
8.27 Secure system architecture and engineering principles . 30
8.28 Secure coding . 30
8.29 Security testing in development and acceptance . 30
8.30 Outsourced development . 31
8.31 Separation of development, test and production environments . 31
8.32 Change management . 31
8.33 Test information . 31
8.34 Protection of information systems during audit and testing . 31
8.35 CLD - Segregation in virtual computing environments . 32
8.36 CLD - Detection and prevention of unauthorized use of cloud services . 33
Annex A (Informative) Correspondence between this document and the first edition(ISO/IEC
27017:2015) . 35
Annex B (informative) Monitoring of cloud services . 40
Bibliography . 41

Formatted: Font: 10 pt
Formatted: Font: 10 pt
Formatted: FooterCentered, Left, Space Before: 0 pt,
Tab stops: Not at 17.2 cm
Formatted: Font: 11 pt
Formatted: FooterPageRomanNumber, Left, Space
After: 0 pt, Tab stops: Not at 17.2 cm
© ISO/IEC 20252026 – All rights reserved
vii
Formatted: Font: Bold
Formatted: HeaderCentered
Foreword Formatted: Adjust space between Latin and Asian text,
Adjust space between Asian text and numbers
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical
Commission) form the specialized system for worldwide standardization. National bodies that are members
of ISO or IEC participate in the development of International Standards through technical committees
established by the respective organization to deal with particular fields of technical activity. ISO and IEC
technical committees collaborate in fields of mutual interest. Other international organizations, governmental
and non-governmental, in liaison with ISO and IEC, also take part in the work.
The procedures used to develop this document and those intended for its further maintenance are described
in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the different types of
document should be noted. This document was drafted in accordance with the editorial rules of the ISO/IEC
Directives, Part 2 (see www.iso.org/directiveswww.iso.org/directives or
www.iec.ch/members_experts/refdocswww.iec.ch/members_experts/refdocs).
ISO and IEC draw attention to the possibility that the implementation of this document may involve the use of
(a) patent(s). ISO and IEC take no position concerning the evidence, validity or applicability of any claimed
patent rights in respect thereof. As of the date of publication of this document, ISO and IEC had not received
notice of (a) patent(s) which may be required to implement this document. However, implementers are
cautioned that this may not represent the latest information, which may be obtained from the patent database
available at www.iso.org/patents and https://patents.iec.ch.www.iso.org/patents and https://patents.iec.ch.
ISO and IEC shall not be held responsible for identifying any or all such patent rights.
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and expressions
related to conformity assessment, as well as information about ISO's adherence to the World Trade
Organization (WTO) principles in the Technical Barriers to Trade (TBT) see
www.iso.org/iso/foreword.html.www.iso.org/iso/foreword.html. In the IEC, see www.iec.ch/understanding-
standardswww.iec.ch/understanding-standards.
This document was prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology,
Subcommittee SC 27, Information security, cybersecurity and privacy protection, in collaboration with ITU- T
Formatted: Font: Not Italic
(as Rec. ITU Recommendation-T X.1631163), and in collaboration with the European Committee for
Formatted: Font: Not Italic
Standardization (CEN) Technical Committee CEN/CLC/JTC 13, Cybersecurity and Data Protection, in
Formatted: Default Paragraph Font
accordance with the Agreement on technical cooperation between ISO and CEN (Vienna Agreement).
Formatted: Default Paragraph Font
This second edition cancels and replaces the first edition (ISO/IEC 27017 |:2015 | Rec. ITU-T Recommendation
Formatted: Default Paragraph Font
X.1631:2015), which has been technically revised.
Formatted: Default Paragraph Font
The main changes are as follows:
Formatted: Adjust space between Latin and Asian text,
Adjust space between Asian text and numbers
— — the title and the scope have been modified;
Formatted: Default Paragraph Font
— — the structure of the document has been changed, presenting the controls using a simple taxonomy and
Formatted: Adjust space between Latin and Asian text,
associated attributes;
Adjust space between Asian text and numbers, Tab
stops: Not at 0.7 cm + 1.4 cm + 2.1 cm + 2.8 cm +
— — some controls have been merged, some have been removed and several new controls have been
3.5 cm + 4.2 cm + 4.9 cm + 5.6 cm + 6.3 cm + 7 cm
introduced.
Formatted: Font: 10 pt
Formatted: Font: 10 pt
The complete correspondence can be found in Annex A.
Formatted: Font: 11 pt
This document has been given the status of a horizontal document in accordance with the ISO/IEC Directives,
Formatted: FooterPageRomanNumber, Space After: 0
Part 1.
pt, Line spacing: single
viii © ISO #### /IEC 2026 – All rights reserved
viii
ISO/IEC DISFDIS 27017:20252026(en)
Formatted: Font: Bold
Formatted: Font: Bold
Formatted: Font: Bold
Any feedback or questions on this document should be directed to the user’s national standards body. A
Formatted: HeaderCentered, Left
complete listing of these bodies can be found at www.iso.org/members.htmlwww
...

PROJET
Norme
internationale
ISO/IEC DIS 27017
ISO/IEC JTC 1/SC 27
Sécurité de l'information,
Secrétariat: DIN
cybersécurité et protection de la vie
Début de vote:
privée — Contrôles de sécurité de
2025-02-03
l'information fondés sur l'ISO/IEC
Vote clos le:
27002 pour les services du nuage
2025-04-28
Information security, cybersecurity and privacy protection —
Information security controls based on ISO/IEC 27002 for cloud
services
ICS: 35.030
CE DOCUMENT EST UN PROJET DIFFUSÉ
POUR OBSERVATIONS ET APPROBATION. IL
EST DONC SUSCEPTIBLE DE MODIFICATION
ET NE PEUT ÊTRE CITÉ COMME NORME
INTERNATIONALE AVANT SA PUBLICATION EN
TANT QUE TELLE.
Le présent document est distribué tel qu’il est parvenu du secrétariat
du comité. OUTRE LE FAIT D’ÊTRE EXAMINÉS POUR
ÉTABLIR S’ILS SONT ACCEPTABLES À DES
FINS INDUSTRIELLES, TECHNOLOGIQUES ET
COMMERCIALES, AINSI QUE DU POINT DE VUE
DES UTILISATEURS, LES PROJETS DE NORMES
INTERNATIONALES DOIVENT PARFOIS ÊTRE
TRAITEMENT PARALLÈLE ISO/CEN
CONSIDÉRÉS DU POINT DE VUE DE LEUR
POSSIBILITÉ DE DEVENIR DES NORMES
POUVANT SERVIR DE RÉFÉRENCE DANS LA
RÉGLEMENTATION NATIONALE.
LES DESTINATAIRES DU PRÉSENT PROJET
SONT INVITÉS À PRÉSENTER, AVEC LEURS
OBSERVATIONS, NOTIFICATION DES DROITS
DE PROPRIÉTÉ DONT ILS AURAIENT
ÉVENTUELLEMENT CONNAISSANCE
ET À FOURNIR UNE DOCUMENTATION
EXPLICATIVE.
Numéro de référence
© ISO/IEC 2025
ISO/IEC DIS 27017:2025(fr)
ISO/IEC DIS 27017:2025(fr)
Ȁ
1Ȁ27
ƒ–‡ǣ2025-02-03
ISO/IEC DIS 27017:2025(fr)
Ȁ
1Ȁ27
‡…”±–ƒ”‹ƒ–ǣDIN
Sécurité de l'information, cybersécurité et protection de la vie
privée — Contrôles de sécurité de l'information fondés sur
l'ISO/IEC 27002 pour les services du nuage
Information security, cybersecurity and privacy protection — Information security controls based on
ISO/IEC 27002 for cloud services

ǣ͵ͷǤͲ͵Ͳ

DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO/IEC 2025
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
E-mail: copyright@iso.org
Web: www.iso.org
›’‡†—†‘…—‡–ǣ‘”‡‹–‡”ƒ–‹‘ƒŽ‡
Publié en Suisse ‘—•Ǧ–›’‡†—†‘…—‡–ǣ
–ƒ†‡†—†‘…—‡–ǣȋͶͲȌ“—ê–‡
ƒ‰—‡†—†‘…—‡–ǣ 
© ISO/IEC 2025 – Tous droits réservés
ii
ISO/IEC DIS 27017:2025(fr)
Sommaire Page
Avant-propos . vi
Introduction . viii
1 Domaine d'application . 1
2 Références normatives . 1
3 Termes, définitions et abréviations . 1
3.1 Termes et définitions . 1
3.2 Abréviations . 2
4 Concepts spécifiques à l'informatique en nuage . 2
4.1 Généralités . 2
4.1.1 Vue d'ensemble . 2
4.1.2 Structure de la présente Norme internationale . 3
4.2 Concepts spécifiques à l'informatique en nuage . 3
4.2.1 Relations avec les fournisseurs dans les services en nuage . 3
4.2.2 Relations entre les CSC et les CSP . 4
4.2.3 Gestion des risques relatifs à la sécurité de l'information dans les services en nuage . 5
5 Recommandations spécifiques au service en nuage relatives aux mesures
organisationnelles . 6
5.1 Politiques de sécurité de l'information . 6
5.2 Rôles et responsabilités liées à la sécurité de l'information . 7
5.3 Séparation des tâches . 7
5.4 Responsabilités de la direction . 7
5.5 Relations avec les autorités . 8
5.6 Relations avec des groupes de travail spécialisés . 8
5.7 Renseignements sur les menaces . 8
5.8 Sécurité de l'information dans la gestion de projet . 8
5.9 Inventaire des informations et autres actifs associés . 9
5.10 Utilisation correcte des informations et autres actifs associés . 9
5.11 Restitution des actifs . 9
5.12 Classification des informations . 10
5.13 Marquage des informations . 10
5.14 Transfert des informations. 10
5.15 Contrôle d'accès . 10
5.16 Gestion des identités . 10
5.17 Informations d'authentification . 11
5.18 Droits d'accès . 11
5.19 Sécurité de l'information dans les relations avec les fournisseurs . 11
5.20 Prise en compte de la sécurité de l'information dans les accords conclus avec les
fournisseurs . 11
5.21 Gestion de la sécurité de l'information dans la chaîne d'approvisionnement TIC . 12
5.22 Surveillance, revue et gestion des changements des services fournisseurs . 13
5.23 Sécurité de l'information dans l'utilisation de services en nuage . 13
5.24 Planification et préparation de la gestion des incidents de sécurité de l'information . 13
5.25 Appréciation des événements de sécurité de l'information et prise de décision . 14
5.26 Réponse aux incidents liés à la sécurité de l'information . 14
5.27 Tirer des enseignements des incidents liés à la sécurité de l'information . 14
5.28 Recueil de preuves . 14
5.29 Sécurité de l'information pendant une perturbation . 15
© ISO/IEC 2025 – Tous droits réservés
iii
ISO/IEC DIS 27017:2025(fr)
5.30 Préparation des TIC pour la continuité d'activité . 15
5.31 Identification des exigences légales, statutaires, réglementaires et contractuelles . 15
5.32 Droits de propriété intellectuelle . 17
5.33 Protection des enregistrements . 17
5.34 Protection de la vie privée et protection des DCP . 17
5.35 Revue indépendante de la sécurité de l'information . 17
5.36 Conformité aux politiques et normes de sécurité de l'information . 18
5.37 Procédures d'exploitation documentées . 18
6 Recommandations spécifiques au service en nuage relatives aux contrôles des
personnes . 19
6.1 Sélection des candidats . 19
6.2 Termes et conditions d'embauche . 19
6.3 Sensibilisation, apprentissage et formation à la sécurité de l'information . 19
6.4 Processus disciplinaire . 20
6.5 Responsabilités après la fin ou le changement d'un emploi . 20
6.6 Accords de confidentialité ou de non-divulgation . 20
6.7 Travail à distance . 20
6.8 Déclaration des événements de sécurité de l'information . 21
7 Recommandations spécifiques au service en nuage relatives aux contrôles physiques . 21
7.1 Périmètre de sécurité physique . 21
7.2 Contrôles physiques des accès . 21
7.3 Sécurisation des bureaux, des salles et des équipements . 21
7.4 Surveillance de la sécurité physique . 21
7.5 Protection contre les menaces physiques et environnementales . 21
7.6 Travail dans les zones sécurisées . 21
7.7 Bureau vide et écran vide . 22
7.8 Emplacement et protection du matériel . 22
7.9 Sécurité des actifs hors des locaux . 22
7.10 Supports de stockage . 22
7.11 Services généraux . 22
7.12 Sécurité du câblage . 22
7.13 Maintenance du matériel . 22
7.14 Mise au rebut ou recyclage sécurisé(e) du matériel . 22
8 Recommandations spécifiques au service en nuage relatives aux contrôles
technologiques . 23
8.1 Terminaux des utilisateurs . 23
8.2 Privilèges d'accès . 23
8.3 Restriction d'accès à l'information . 23
8.4 Accès au code source . 24
8.5 Authentification sécurisée . 24
8.6 Dimensionnement . 24
8.7 Protection contre les programmes malveillants. 25
8.8 Gestion des vulnérabilités techniques . 25
8.9 Gestion de la configuration . 25
8.10 Suppression des informations . 26
8.11 Masquage des données . 26
8.12 Prévention de la fuite de données . 27
8.13 Sauvegarde des informations. 27
8.14 Redondance des moyens de traitement de l'information . 28
8.15 Journalisation . 28
8.16 Activités de surveillance . 28
© ISO/IEC 2025 – Tous droits réservés
iv
ISO/IEC DIS 27017:2025(fr)
8.17 Synchronisation des horloges . 29
8.18 Utilisation de programmes utilitaires à privilèges . 29
8.19 Installation de logiciels sur des systèmes en exploitation . 30
8.20 Contrôle des réseaux . 30
8.21 Sécurité des services réseau . 30
8.22 Séparation des réseaux . 30
8.23 Filtrage Web . 31
8.24 Utilisation de la cryptographie . 31
8.25 Cycle de vie de développement sécurisé. 32
8.26 Exigences de sécurité des applications . 32
8.27 Principes d'ingénierie et d'architecture des systèmes sécurisés . 32
8.28 Codage sécurisé . 32
8.29 Tests de sécurité dans le développement et l'acceptation . 32
8.30 Développement externalisé . 32
8.31 Séparation des environnements de développement, de test et de production . 32
8.32 Gestion des changements . 32
8.33 Informations de test . 33
8.34 Protection des systèmes d'information en cours d'audit et de test . 33
Annexe A (normative) Ensemble étendu de mesures pour les services en nuage . 34
Annexe B (informative) Correspondance avec l'ISO/IEC 27017:2015 . 39
Annexe C (informative) Surveillance des services en nuage . 46
Bibliographie. 48

© ISO/IEC 2025 – Tous droits réservés
v
ISO/IEC DIS 27017:2025(fr)
Avant-propos
L'Union internationale des télécommunications (UIT) est une institution spécialisée des Nations Unies dans
le domaine des télécommunications. Le Secteur de la normalisation des télécommunications (UIT-T) est un
organe permanent de l'UIT. Il est chargé de l'étude des questions techniques, d'exploitation et de tarification,
et émet à ce sujet des Recommandations en vue de la normalisation des télécommunications à l'échelle
mondiale. L'Assemblée mondiale de normalisation des télécommunications (AMNT), qui se réunit tous les
quatre ans, détermine les thèmes d'étude à traiter par les Commissions d'études de l'UIT-T, lesquelles
élaborent en retour des Recommandations sur ces thèmes. L'approbation des Recommandations par les
Membres de l'UIT-T s'effectue selon la procédure définie dans la Résolution 1 de l'AMNT. Dans certains
secteurs des technologies de l'information qui correspondent à la sphère de compétence de l'UIT-T, les
normes nécessaires se préparent en collaboration avec l'ISO et l'IEC.
L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes nationaux
de normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est en général
confiée aux comités techniques de l'ISO. Chaque comité membre intéressé par une étude a le droit de faire
partie du comité technique créé à cet effet. Les organisations internationales, gouvernementales et non
gouvernementales, en liaison avec l'ISO participent également aux travaux. L'ISO collabore étroitement avec
la Commission électrotechnique internationale (IEC) en ce qui concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont décrites
dans les Directives ISO/IEC, Partie 1. Il convient, en particulier, de prendre note des différents critères
d'approbation requis pour les différents types de documents ISO. Le présent document a été rédigé
conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2
(voir www.iso.org/directives).
L’ISO attire l’attention sur le fait que la mise en application du présent document peut entraîner l’utilisation
d’un ou de plusieurs brevets. L’ISO ne prend pas position quant à la preuve, à la validité et à l’applicabilité
de tout droit de propriété revendiqué à cet égard. À la date de publication du présent document, l'ISO n'avait
pas reçu notification qu'un ou plusieurs brevets pouvaient être nécessaires à sa mise en application.
Toutefois, il y a lieu d'avertir les responsables de la mise en application du présent document que des
informations plus récentes sont susceptibles de figurer dans la base de données de brevets, disponible à
l'adresse www.iso.org/brevets. L'ISO ne saurait être tenue pour responsable de ne pas avoir identifié tout
ou partie de tels droits de brevet.
Les appellations commerciales éventuellement mentionnées dans le présent document sont données pour
information, par souci de commodité, à l'intention des utilisateurs et ne sauraient constituer un engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l'ISO liés à l'évaluation de la conformité, ou pour toute information au sujet de l'adhésion de
l'ISO aux principes de l'Organisation mondiale du commerce (OMC) concernant les obstacles techniques au
commerce (OTC), voir www.iso.org/iso/avant-propos.
Le présent document a été élaboré par le comité technique ISO/IEC JTC 1, Technologies de l'information,
sous-comité SC 27, Sécurité de l'information, cybersécurité et protection de la vie privée, en collaboration
avec l'UIT-T. Le texte identique est publié sous la Recommandation X.1631 de l'UIT-T.
Cette deuxième édition annule et remplace la première édition (ISO/IEC 27017:2015 |
Recommandation X.1631 de l'UIT-T), qui a fait l'objet d'une révision technique.
© ISO/IEC 2025 – Tous droits réservés
vi
ISO/IEC DIS 27017:2025(fr)
Les principales modifications sont les suivantes :
— le titre a été modifié ;
— la structure du document a été modifiée, présentant les mesures de sécurité avec une taxonomie simple
et des attributs associés ;
— certaines mesures de sécurité ont été fusionnées, d'autres ont été supprimées, et plusieurs nouvelles
mesures de sécurité ont été ajoutées. La correspondance complète se trouve à l'Annexe B.
Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent
document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes se
trouve à l’adresse www.iso.org/fr/members.html.
© ISO/IEC 2025 – Tous droits réservés
vii
ISO/IEC DIS 27017:2025(fr)
Introduction
Les lignes directrices contenues dans la présente Recommandation | Norme internationale viennent à
l'appui et en complément des lignes directrices données dans l'ISO/IEC 27002:2022.
Spécifiquement, cette Recommandation | Norme internationale fournit des recommandations appuyant la
mise en œuvre des mesures de sécurité de l'information pour les clients de services en nuage (CSC) et les
fournisseurs de services en nuage (CSP). Certaines recommandations sont destinées aux CSC qui assurent la
mise en œuvre des mesures, tandis que d'autres sont destinées aux CSP afin de soutenir la mise en œuvre de
ces mesures. La détermination des mesures de sécurité de l'information appropriées et l'étendue de
l'utilisation des recommandations dépendront des résultats de l'appréciation du risque pertinente et de
l'existence de toute exigence légale, contractuelle, réglementaire ou autre en matière de sécurité de
l'information spécifique à l'informatique en nuage.
© ISO/IEC 2025 – Tous droits réservés
viii
PROJET de Norme internationale ISO/IEC DIS 27017:2025(fr)

Sécurité de l'information, cybersécurité et protection de la vie
privée — Contrôles de sécurité de l'information fondés sur
l'ISO/IEC 27002 pour les services du nuage
1 Domaine d'application
La présente Recommandation | Norme internationale contient des lignes directrices relatives aux
mesures de sécurité de l'information applicables à la prestation et à l'utilisation de services
d'informatique en nuage, par exemple :
— des recommandations supplémentaires concernant les mesures de sécurité pertinentes spécifiées
dans l'ISO/IEC 27002:2022 ;
— des mesures de sécurité supplémentaires avec des recommandations spécifiquement liées aux
services d'informatique en nuage.
La présente Recommandation | Norme internationale fournit des mesures de sécurité et des
recommandations destinées aux CSC et aux CSP.
La présente Recommandation | Norme internationale exclut tous les aspects de l'évaluation de la
conformité.
2 Références normatives
Les documents suivants sont cités dans le texte de sorte qu’ils constituent, pour tout ou partie de leur
contenu, des exigences du présent document. Pour les références datées, seule l’édition citée s’applique.
Pour les références non datées, la dernière édition du document de référence s'applique (y compris les
éventuels amendements).
ISO/IEC 22123-1:2023, Technologies de l'information — Informatique en nuage — Partie 1 : Vocabulaire
ISO/IEC 27002:2022, Sécurité de l'information, cybersécurité et protection de la vie privée — Mesures de
sécurité de l'information
3 Termes, définitions et abréviations
3.1 Termes et définitions
Pour les besoins du présent document, les termes et les définitions de l'ISO/IEC 27002:2022, de
l’ISO/IEC 22123-1:2023 , et ainsi que les suivants s'appliquent.
L'ISO et l'IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en
normalisation, consultables aux adresses suivantes :
— ISO Online browsing platform : disponible à l'adresse https://www.iso.org/obp
— IEC Electropedia : disponible à l'adresse https://www.electropedia.org/

© ISO/IEC 2025 – Tous droits réservés
ISO/IEC DIS 27017:2025(fr)
3.1.1
aptitude
capacité à réaliser une activité spécifique
[SOURCE : ISO 19440:2020, 3.5]
3.2 Abréviations
CSC client de services en nuage [Cloud Service Customer]
CSN partenaire de services en nuage [Cloud Service Partner]
CSP fournisseur de services en nuage [Cloud Service Provider]
CSU utilisateur de services en nuage [Cloud Service User]
DCP données à caractère personnel
DR délai de rétablissement
IaaS infrastructure en tant que service [Infrastructure as a Service]
OPR objectif de point de rétablissement
PaaS plateforme en tant que service [Platform as a Service]
SaaS logiciel en tant que service [Software as a Service]
SLA accord de niveau de service
TIC Technologies de l'Information et de la Communication
4 Concepts spécifiques à l'informatique en nuage
4.1 Généralités
4.1.1 Vue d'ensemble
La présente Recommandation | Norme internationale fournit des recommandations supplémentaires
spécifiques au nuage, fondées sur l'ISO/IEC 27002, et prévoit des mesures supplémentaires visant à
traiter les considérations spécifiques au nuage en matière de menaces et les risques pour la sécurité de
l'information.
Il convient que les utilisateurs de la présente Recommandation | Norme internationale se réfèrent aux
Articles 5 à 8 de l'ISO/IEC 27002:2022 concernant les attributs, les mesures, les objectifs, les
recommandations et autres informations. En raison de l'applicabilité générale de l'ISO/IEC 27002:2022,
de nombreuses mesures, recommandations et autres informations s'appliquent à la fois au contexte
général et au contexte de l'informatique en nuage d'un organisme. Par exemple, le « 5.3 Séparation des
tâches » de l'ISO/IEC 27002 prévoit une mesure qui peut être appliquée, que l'organisme agisse ou non
en tant que CSP. Un CSC peut en outre dériver de cette mesure des exigences de séparation des tâches
dans l'environnement en nuage, par exemple en séparant les administrateurs des services en nuage des
autres CSU.
© ISO/IEC 2025 – Tous droits réservés
ISO/IEC DIS 27017:2025(fr)
En tant que complément à l'ISO/IEC 27002:2022, la présente Recommandation | Norme internationale
fournit en outre des mesures, des attributs, des objectifs, des recommandations et d'autres informations
spécifiques aux services en nuage destinés à atténuer les risques qui accompagnent les caractéristiques
techniques et opérationnelles des services en nuage (voir 4.1.2 pour la structure du présent document).
L'Annexe B établit une mise en correspondance pour la rétrocompatibilité avec l'ISO/IEC 27017:2015.
Les CSC et les CSP peuvent se référer à l'ISO/IEC 27002:2022 ainsi qu'à la présente Recommandation |
Norme internationale pour choisir les mesures appropriées à l'aide des recommandations et ajouter
d'autres mesures si nécessaire. Ce processus peut être réalisé en effectuant une appréciation et un
traitement du risque en matière de sécurité des informations dans le contexte organisationnel et
opérationnel où les services en nuage sont utilisés ou fournis (voir 4.2.3).
NOTE La présente Recommandation | Norme internationale est applicable à tous les différents modèles de
déploiement en nuage, y compris le nuage privé. Même dans ce cas, les mesures et les recommandations du présent
document sont applicables, bien que des ajustements puissent être nécessaires pour s'adapter aux relations et aux
aptitudes des services internes d'un organisme.
4.1.2 Structure de la présente Norme internationale
La présente Recommandation | Norme internationale est structurée dans un format similaire à celui de
l'ISO/IEC 27002:2022.
La présente Recommandation | Norme internationale adapte les mesures de sécurité de l'information
incluses dans l'ISO/IEC 27002:2022, Articles 5 à 8, afin de mieux s'appliquer à l'informatique en nuage.
Comme dans l'ISO/IEC 27002:2022, la catégorisation des mesures donnée aux Articles 5 à 8 est appelée
« thèmes » et les attributs de chaque mesure identifiés dans l'ISO/IEC 27002:2022 s'appliquent
également.
Lorsque les mesures spécifiées dans l'ISO/IEC 27002:2022 sont applicables sans que les CSC et les CSP
n'aient besoin d'informations supplémentaires, seule une référence à l'ISO/IEC 27002:2022 est fournie.
En plus des mesures de l'ISO/IEC 27002, les mesures étendues des services en nuage sont données à
l'Annexe A, accompagnées du préfixe « CLD » (mesures étendues des services en nuage). Lorsqu'une
mesure de l'ISO/IEC 27002:2022 ou de l'Annexe A nécessite une recommandation supplémentaire
spécifique aux services en nuage concernant la mesure, elle est fournie sous le sous-titre
« recommandation pour les services en nuage ». La préconisation est donnée selon l’un des deux types
suivants :
Type 1 (ce type est utilisé lorsqu'il existe des recommandations distinctes pour le CSC et le CSP)
CSC CSP
Recommandations pour le CSC Recommandations pour le CSP
Type 2 (ce type est utilisé si la recommandation est la même pour le CSC et pour le CSP).
CSC CSP
Recommandations pour le CSC et le CSP
4.2 Concepts spécifiques à l'informatique en nuage
4.2.1 Relations avec les fournisseurs dans les services en nuage
Les 5.19 à 5.22 de l'ISO/IEC 27002:2022 fournissent les mesures, l'objectif de chaque mesure, des
recommandations et d'autres informations pour gérer la sécurité de l'information dans les relations avec
les fournisseurs. La prestation et l'utilisation de services en nuage est un type de relation avec les
fournisseurs où le CSC est un acquéreur, et le CSP un fournisseur. Par conséquent, ces paragraphes
s'appliquent aux CSC et aux CSP.
© ISO/IEC 2025 – Tous droits réservés
ISO/IEC DIS 27017:2025(fr)
Les CSC et les CSP peuvent également former une chaîne d'approvisionnement. Supposons qu'un CSP
fournisse un service en nuage de type aptitudes d'infrastructure. En plus de ce service, un autre CSP peut
fournir un service en nuage de type aptitudes d'application. Dans ce cas, le second CSP agit en tant que
CSC pour le premier et en tant que CSP pour le CSC qui utilise ses services. Dans ce scénario, l'organisme
joue à la fois le rôle de CSC et de CSP. Chaque organisme doit prendre en compte les mesures qui lui sont
applicables dans ses rôles de CSP et de CSC. Cet exemple illustre le cas où la présente Recommandation |
Norme internationale s'applique à un organisme à la fois en tant que CSC et en tant que CSP. Comme les
CSC et les CSP forment une chaîne d'approvisionnement du fait de la prestation et de l'utilisation du ou
des services en nuage, le « 5.21 Gestion de la sécurité de l'information dans la chaîne
d'approvisionnement TIC » de l'ISO/IEC 27002:2022 s'applique.
La Norme internationale en plusieurs parties ISO/IEC 27036, « Sécurité d'information pour la relation
avec le fournisseur », fournit à l'acquéreur et au fournisseur de produits et de services des
recommandations détaillées concernant la sécurité de l'information dans les relations avec les
fournisseurs.
La Partie 4 de l'ISO/IEC 27036 traite directement de la sécurité des services en nuage dans les relations
avec les fournisseurs. La présente norme s'applique également aux CSC en tant qu'acquéreurs et aux CSP
en tant que fournisseurs.
4.2.2 Relations entre les CSC et les CSP
Dans l'environnement de l'informatique en nuage, les données des CSC sont stockées, transmises et
traitées par un service en nuage. Par conséquent, les processus métier d'un CSC peuvent dépendre de la
sécurité des informations du service en nuage. Sans un contrôle suffisant sur le service en nuage, le CSC
peut avoir à prendre des précautions supplémentaires concernant ses pratiques en matière de sécurité
de l'information.
Avant d'entrer en relation avec un fournisseur, le CSC doit choisir un service, en tenant compte des écarts
possibles entre les exigences en matière de sécurité de l'information du CSC et les aptitudes du service
en matière de sécurité de l'information. Une fois qu'un service en nuage est sélectionné, il convient que
le CSC gère l'utilisation du service en nuage de sorte à répondre à ses propres exigences en matière de
sécurité de l'information. Dans cette relation, il convient que le CSP fournisse les informations et
l'assistance technique nécessaires pour répondre aux exigences du CSC en matière de sécurité de
l'information. Lorsque les mesures de sécurité de l'information fournies par le CSP sont prédéfinies et ne
peuvent pas être modifiées par le CSC, il est possible que ce dernier ait également besoin de mettre en
œuvre certaines de ses propres mesures afin d'atténuer les risques.
Il est important de comprendre qu'il existe plusieurs modèles de déploiement en nuage différents qui
sont utilisés dans les environnements de l'informatique en nuage. Certains des modèles de déploiement
en nuage comprennent :
— le modèle de nuage privé, où les services en nuage sont utilisés exclusivement par un seul client de
services en nuage et où les ressources sont contrôlées par ce client de services en nuage
[SOURCE : ISO/IEC 22123-1:2023, 3.2.4] ;
— le modèle de nuage public, où les services en nuage sont potentiellement disponibles pour tout client
de services en nuage et où les ressources sont contrôlées par le fournisseur de services en nuage
[SOURCE : ISO/IEC 22123-1:2023, 3.2.5] ;
— le modèle multinuage, qui combine des services en nuage public fournis par deux CSP ou plus ;
— le modèle de nuage fédéré, qui combine les ressources des membres d'une fédération de services en
nuage pour fournir des services en nuage ;
— le modèle de nuage hybride, qui combine un nuage privé et un nuage public ;
© ISO/IEC 2025 – Tous droits réservés
ISO/IEC DIS 27017:2025(fr)
— le modèle multinuage hybride, qui combine un nuage hybride et un environnement multinuage ;
— le modèle internuage, qui combine les services en nuage d'un CSP principal et un ou plusieurs
services en nuage d'un ou plusieurs CSP secondaires.
Trois approches fondamentales peuvent être adoptées dans ces différents modèles de déploiement en
nuage :
— le CSC contrôle et gère les services en nuage qui sont fournis par chacun des CSP, y compris leur
orchestration dans une solution en nuage (par exemple, modèle multinuage) ;
— un CSP combine les services en nuage de plusieurs CSP avec des degrés variables d'activités
d'orchestration, de contrôle et de gestion (par exemple, modèle internuage) ;
— plusieurs CSP forment un partenariat dans le cadre d'une collaboration hors bande et partagent leurs
ressources pour créer des services en nuage (par exemple, un nuage fédéré qui utilise un système de
gestion d'une fédération de services en nuage pour orchestrer l'accès aux ressources des CSP).
Il est à noter que ces approches ne sont pas mutuellement exclusives et qu'il est possible de les combiner.
Une explication supplémentaire de ces modèles de déploiement en nuage est disponible dans
l'ISO/IEC 5140.
Un effort de collaboration entre le CSC et le CSP autour de l'utilisation et de la fourniture du service en
nuage est nécessaire afin que le CSC atteigne ses objectifs en matière de gestion de la sécurité de
l'information. Cela comprend le partage des rôles et responsabilités entre le CSC et le CSP. De plus amples
informations sur l'attribution des rôles et responsabilités sont disponibles dans la mesure CLD.5.38.
4.2.3 Gestion des risques relatifs à la sécurité de l'information dans les services en nuage
Il convient que les CSC et les CSP disposent tous deux de processus de gestion des risques liés à la sécurité
de l'information. Il est conseillé qu'ils se réfèrent à l'ISO/IEC 27001 pour les exigences relatives à la
gestion des risques dans leurs systèmes de gestion de la sécurité de l'information, et à l'ISO/IEC 27005
pour des recommandations supplémentaires concernant la gestion des risques de sécurité de
l'information en elle-même. L'ISO 31000, sur laquelle l'ISO/IEC 27001 et l'ISO/IEC 27005 sont alignées,
peut également contribuer à la compréhension générale de la gestion des risques.
Les mesures et les recommandations données aux Articles 5 à 8 et à l'Annexe A de la présente
Recommandation | Norme internationale sont utilisées comme une référence pour déterminer et mettre
en œuvre des mesures de sécurité pour les services en nuage.
Les mesures et les recommandations fournissent aux CSC :
— des recommandations sur les mesures de sécurité de l'information associées à l'utilisation des
services en nuage ;
— des recommandations sur les informations et les aptitudes des services en nuage à obtenir auprès
des CSP.
Les mesures et les recommandations fournissent également aux CSP des recommandations pour fournir
des informations et des aptitudes dans le cadre des services en nuage afin de soutenir les CSC dans leur
gestion des risques liés à la sécurité de l'information. Les informations et les aptitudes peuvent être
fournies dans des accords et d'autres documents disponibles pour les CSC.
© ISO/IEC 2025 – Tous droits réservés
ISO/IEC DIS 27017:2025(fr)
5 Recommandations spécifiques au service en nuage relatives aux mesures
organisationnelles
5.1 Politiques de sécurité de l'information
Les attributs, la mesure, l’objectif, les recommandations et les informations supplémentaires fournies
dans l'ISO/IEC 27002:2022, 5.1 ainsi que les recommandations supplémentaires suivantes s’appliquent.
Recommandations pour les services en nuage
CSC CSP
Il convient de définir une politique de sécurité de Il convient de définir des règles relatives à la
l'information concernant l'utilisation des services en fourniture du service en nuage afin d'appuyer la
nuage sous la forme d'une politique portant sur le politique de sécurité de l'information du CSP, de
thème spécifique du CSC. traiter la fourniture et l'utilisation de ses services en
nuage en tenant compte des éléments suivants :
Il convient que la politique de sécurité de — les exigences de référence en matière de sécurité
l'information du CSC soit cohérente avec les niveaux de l'information applicables à la conception et à
acceptables de risques liés à la sécurité de la mise en œuvre du service en nuage ;
l'information définis par l'organisme pour ses
— la multilocation et l'isolement des CSC ;
informations et autres actifs associés.
— la virtualisation des ressources, y compris les
Lors de la définition de la politique de sécurité de
serveurs, les conteneurs et les réseaux ;
l'information pour l'utilisation des services en nuage,
il convient que le CSC tienne compte des éléments
suivants :
— les informations stockées dans l'environnement — l'accès du personnel du CSP aux données du
informatique en nuage peuvent être soumises à client de services en nuage et aux données
l'accès et à la gestion par le CSP ; obtenues à partir des services en nuage ;
— les actifs maintenus dans l'environnement — les procédures de contrôle d'accès, par exemple
informatique en nuage, par exemple les instances authentification stricte pour l'accès administratif
de machines virtuelles, les compartiments de aux services en nuage ;
stockage en nuage ;
— la gestion du cycle de vie des comptes du CSC ;
— les processus exécutés sur un service en nuage
— la communication aux CSC dans le cadre de la
virtualisé, en multilocation ;
gestion du changement ;
— le niveau d'accès des utilisateurs du service en
— la communication des violations et des lignes
nuage et le contexte dans lequel ils utilisent le
directrices en matière de partage d'informations
service en nuage ;
afin de faciliter les enquêtes et la criminalistique.
— les administrateurs du service en nuage du CSC
qui disposent de privilèges d'accès ;
— les emplacements géographiques de l'organisme
du CSP et les pays dans lesquels le CSP peut
stocker et traiter les données du CSC ainsi que les
données obtenues à partir des services en nuage
(même temporairement) ;
— la possibilité d'utilisations non autorisées de
services en nuage.
© ISO/IEC 2025 – Tous droits réservés
ISO/IEC DIS 27017:2025(fr)
Autres informations pour l
...