セキュリティレベルを維持,改善を行うためのPDCAサイクル。ポリシー策定・改善対策計画を行った後,システム構築・運用監視を行い,運用後も継続的に監査・診断を実施し,改善のための対策を実施する。改善した結果を再度ポリシーに反映し,サイクルを回す必要がある(図)。