ISO/IEC 27017は、ISO/IEC 27002（ISO/IEC 27001に対するベストプラクティス）規定の指針に、クラウドサービス固有の事項に関する指針を追加・補足する位置づけとなっている（図1）。実際にクラウドサービスのためのISMSを構築する際には、リスクアセスメントの結果をふまえて必要な管理策を決定し、それを27002やこの27017に示す管理策と比較することで、必要な管理策の見落としがないかを検証することになる。

ISO/IEC 27017:2015の構成は以下の図のとおりである（図2）。
0～4は27017独自の内容であり、5～18は27002と同じ構成になっている。

　このうち「1.適用範囲」において、ISO/IEC 27017は、クラウドサービスの提供及び利用に適用できる情報セキュリティ管理策のための指針を示しており、この指針の管理策及び実施の手引きは、クラウドサービスプロバイダ及びクラウドサービスカスタマの両方に対して提供されるものであると定められている。例えば他社のIaaSを利用して、その上に構築したサービスを更に他社に提供するような場合、つまり一方ではカスタマ、他方ではプロバイダであるような場合には、両者の立場で認証を取得することが求められる。
　追加の実施の手引の例として「18.1.1適用法令及び契約上の要求事項の特定」では、クラウドサービスカスタマは「クラウドサービスプロバイダにどの国の法律が適用されるのか」を考慮することが望ましいとし、他方、プロバイダはカスタマに、クラウドサービスに適用される法域を知らせることが望ましいとしている。

　今回新しくスタートするISMSクラウドセキュリティ認証は、ISMS（ISO/IEC 27001）認証を前提としている。つまりマネジメントシステムとしてPDCAを回す部分はISMS本体であり、その中で、適用する管理策に対応したISO/IEC 27017の実施の手引が参照されるという枠組みになっている。当認証の対象は、クラウドサービスを提供している組織（クラウドサービスプロバイダ）、または、クラウドサービスを利用している組織（クラウドサービスカスタマ）のいずれか、あるいは両方である組織であり、その組織が提供または利用するクラウドサービスの分類（IaaS、PaaS、SaaS）は問わない。
　また、ISMSクラウドセキュリティ認証の認証基準は、ISO/IEC 27017:2015に基づく要求事項「JIP-ISMS517-1.0」である。このJIP-ISMS517-1.0は、ISO/IEC 27017を要求事項として扱うための基準である。JIP-ISMS517-1.0は現在ドラフトの段階であり、実際にこの要求事項に基づいて認証が開始されるのは、2016年8月以降となる予定である。