Der PDCA-Zyklus (Plan-Do-Check-Act) ist ein vierstufiges Modell zur kontinuierlichen Verbesserung. Plan: Ziele festlegen und Maßnahmen planen. Do: Maßnahmen umsetzen. Check: Ergebnisse messen und bewerten. Act: Erkenntnisse in Verbesserungen umsetzen und den Zyklus erneut starten. ISO 27001 baut auf dem PDCA-Prinzip auf, auch wenn die Norm es nicht mehr explizit benennt. In der Praxis zeigt sich PDCA z. B. darin, dass Du nach einem Sicherheitsvorfall die Ursache analysierst (Check), Maßnahmen ableitest (Act) und diese in die nächste Planungsperiode einbaust (Plan). Der Zyklus stellt sicher, dass Dein ISMS sich kontinuierlich weiterentwickelt.