Las certificaciones bajo ISO-27017 ( Code of practice for information security controls based on ISO/IEC 27002 for cloud services) y 27018 ( Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors) añaden a los sistemas de gestión de la seguridad de la información ya implantados un conjunto de controles suplementarios a los ya incluidos en ISO-27002.
La ISO-27017 añade a los sistemas de gestión los controles necesarios para garantizar la seguridad, integridad y disponibilidad de los sistemas de información que dan servicio a procesos de negocio en el cloud.
Por su parte, los controles de ISO-27018 orientan el sistema a garantizar la seguridad de los datos personales almacenados en la nube por parte de organizaciones.