本标准载有向云服务用户和提供者提出的建议: （a）获取并有效管理与云服务有关的信息安全风险； （b）应对采购或提供可能影响各组织信息安全的云服务的风险；使用这些服务。 本标准不涉及 与云服务有关的业务连续性/故障持续性管理问题。业务连续性问题在ISO/IEC 27031。 本标准未就云服务供应商如何管理和实现信息安全提供指导。关于这些问题的建议，见ISO/IEC 27002和ISO/IEC 27017。 本标准的目的是为信息安全管理提供指导 云服务

Настоящий стандарт содержит рекомендации потребителям и поставщикам облачных услуг: a) по получению информации о рисках в области информационной безопасности, связанных с использованием облачных услуг, и по эффективному управлению этими рисками; b) по реагированию на риски, связанные с приобретением или предоставлением облачных услуг, которые могут оказать влияние на информационную безопасность организаций, использующих эти сервисы. В настоящем стандарте не рассматриваются вопросы управления непрерывностью бизнеса/отказоустойчивости, связанные с облачными услугами. Вопросы непрерывности бизнеса см. в ИСО/МЭК 27031. Настоящий стандарт не содержит указаний о том, как поставщику облачных услуг следует руководить и достигать информационной безопасности. Рекомендации по этим вопросам можно найти в ИСО/МЭК 27002 и ИСО/МЭК 27017. Цель настоящего стандарта заключается в предоставлении рекомендаций для управления информационной безопасностью при использовании облачных услуг