セキュリティレベルを維持，改善を行うためのPDCAサイクル。

ポリシー策定・改善対策計画を行った後，システム構築・運用監視を行い，運用後も継続的に監査・診断を実施し，改善のための対策を実施する。改善した結果を再度ポリシーに反映し，サイクルを回す必要がある（図）。