השימוש המתרחב (במהירות) בשירותי מחשוב בענן, שינה את התפישה כיצד למזער סיכונים בסביבה זאת. תקן זה, המבוסס על תקן ISO 27001, מספק הנחיות ודרישות נוספות לטפל בסיכונים ואיומים בסביבות הענן. התקן מרחיב את הדרישות הן מספקי שירותי ענן, והן מלקוחות שירותי ענן.
דרישות תקן זה כוללות את כל הבקרות של תקן ISO 27001 עם הרחבות לרוב הבקרות.
הרחבות יש בעיקר לבקרות כמו בקרת גישה, הצפנות, הסכמים עם ספקים (ספקי שרותי מחשוב ענן...), אירועי אבטחת מידע ועמידה בחוקים ותקנות. לבקרות על אבטחה פיזית, למשל, אין כל דרישה נוספת מעבר לנדרש בתקן ISO 27001.
התקן מיועד הן לספקי שירותי ענן, והן לספקים המשתמשים בשירותי ענן, כגון:
עברית 
English
