Kontinuierlicher Verbesserungsprozess (KVP)
Der Aufbau eines Managementsystems für Informationssicherheit ist keine einmalige Aufgabe. Das ISMS muss kontinuierlich auf Eignung, Angemessenheit und Wirksamkeit geprüft werden.
Für eine erfolgreiche Zertifizierung muss dem Auditor genau das nachgewiesen werden. Identifiziere ich Schwachstellen in meiner Informationssicherheit? Unterliegt mein ISMS und damit die Informationssicherheit einer ständigen Verbesserung? Verbesserungspotential wird z. B. in der Risikoanalyse, im ISMS Selfassessment oder in einem „Lessons Learned“ zu Sicherheitsvorfällen identifiziert. Entscheidend ist, dass diese Verbesserungspotenziale in Maßnahmen überführt und nachgehalten werden.
PDCA
Ein konkretes Modell zur Umsetzung der kontinuierlichen Verbesserung wird nicht vorgeschrieben. Am weitesten verbreitet hat sich jedoch der PDCA-Zyklus (auch Deming Cycle genannt). Demnach müssen die geplanten (plan) und umgesetzten (do) Aktivitäten im Managementsystem nach dem Plan-Do-Check-Act-Kreislauf ständig auf ihre Wirksamkeit hin geprüft (check) und gegebenenfalls angepasst (act) werden.