D—实施并运行

PDCA 循环中这个阶段的任务是以适当的优先权进行管理运作，执行所选择的控制，以管理策划阶段所识别的信息安全风险。对于那些被评估认为是可接受的风险， 不需要采取进一步的措施。对于不可接受风险，需要实施所选择的控制，这应该与策划活动中准备的风险处理计划同步进行。计划的成功实施需要有一个有效的管理系统，其中要规定所选择方法、分配职责和职责分离，并且要依据规定的方式方法监控这些活动。

在不可接受的风险被降低或转移之后，还会有一部分剩余风险。应对这部分风险进行控制，确保不期望的影响和破坏被快速识别并得到适当管理。本阶段还需要分配适当的资源（人员、时间和资金）运行信息安全管理体系以及所有的安全控制。这包括将所有已实施控制的文件化，以及信息安全管理体系文件的积极维护。

提高信息安全意识的目的就是产生适当的风险和安全文化，保证意识和控制活动的同步，还必须安排针对信息安全意识的培训，并检查意识培训的效果，以确保其持续有效和实时性。如有必要应对相关方事实有针对性的安全培训，以支持组织的意识程序，保证所有相关方能按照要求完成安全任务。本阶段还应该实施并保持策划了的探测和响应机制。

C—监视并评审

检查阶段

又叫学习阶段，是PDCA 循环的关键阶段，是信息安全管理体系要分析运行效果，寻求改进机会的阶段。如果发现一个控制措施不合理、不充分，就要采取纠正措施，以防止信息系统处于不可接受风险状态。组织应该通过多种方式检查信息安全管理体系是否运行良好，并对其业绩进行监视，可能包括下列管理过程：

1、执行程序和其他控制以快速检测处理结果中的错误；快速识别安全体系中失败的和成功的破坏；能使管理者确认人工或自动执行的安全活动达到预期的结果；按照商业优先权确定解决安全破坏所要采取的措施；接受其他组织和组织自身的安全经验。

2、常规评审信息安全管理体系的有效性；收集安全审核的结果、事故、以及来自所有股东和其他相关方的建议和反馈，定期对信息安全管理体系有效性进行评审。

3、评审剩余风险和可接受风险的等级；注意组织、技术、商业目标和过程的内部变化，以及已识别的威胁和社会风尚的外部变化，定期评审剩余风险和可接受风险等级的合理性。

4、审核是执行管理程序、以确定规定的安全程序是否适当、是否符合标准、以及是否按照预期的目的进行工作。审核的就是按照规定的周期（最多不超过一年）检查信息安全管理体系的所有方面是否行之有效。审核的依据包括BS 7799-2:2002标准和组织所发布的信息安全管理程序。应该进行充分的审核策划，以便审核任务能在审核期间内按部就班的展开。

评审

信息安全方针仍然是业务要求的正确反映； 正在遵循文件化的程序（信息安全管理体系范围内），并且能够满足其期望的目标； 有适当的技术控制（例如防火墙、实物访问控制），被正确的配置，且行之有效； 剩余风险已被正确评估，并且是组织管理可以接受的； 前期审核和评审所认同的措施已经被实施；审核会包括对文件和记录的抽样检查，以及口头审核管理者和员工。 正式评审：为确保范围保持充分性，以及信息安全管理体系过程的持续改进得到识别和实施，组织应定期对信息安全管理体系进行正式的评审（最少一年评审一次）。 记录并报告能影响信息安全管理体系有效性或业绩的所有活动、事件。

A—改进

经过了策划、实施、检查之后，组织在措施阶段必须对所策划的方案给以结论，是应该继续执行，还是应该放弃重新进行新的策划？当然该循环给管理体系带来明显的业绩提升，组织可以考虑是否将成果扩大到其他的部门或领域，这就开始了新一轮的PDCA 循环。在这个过程中组织可能持续的进行一下操作：

测量信息安全管理体系满足安全方针和目标方面的业绩。 识别信息安全管理体系的改进，并有效实施。 采取适当的纠正和预防措施。 沟通结果及活动，并与所有相关方磋商。 必要时修订信息安全管理体系。 确保修订达到预期的目标。 　在这个阶段需要注意的是，很多看起来单纯的、孤立的事件，如果不及时处理就可能对整个组织产生影响，所采取的措施不仅具有直接的效果，还可能带来深远的影响。组织需要把措施放在信息安全管理体系持续改进的大背景下，以长远的眼光来打算，确保措施不仅致力于眼前的问题，还要杜绝类似事故再发生或者降低其在放生的可能性。

不符合、纠正措施和预防措施是本阶段的重要概念。

不符合：是指实施、维持并改进所要求的一个或多哥管理体系要素缺乏或者失效，或者是在客观证据基础上，信息安全管理体系符合安全方针以及达到组织安全目标的能力存在很大不确定性的情况。

纠正措施：组织应确定措施，以消除信息安全管理体系实施、运作和使用过程中不符合的原因，防止再发生。组织的纠正措施的文件化程序应该规定以下方面的要求：

识别信息安全管理体系实施、运作过程中的不符合； 确定不符合的原因； 评价确保不符合不再发生的措施要求； 取定并实施所需的纠正措施； 记录所采取措施的结果； 评审所采取措施的有效性。

预防措施：组织应确定措施，以消除潜在不符合的原因，防止其发生。预防措施应与潜在问题的影响程度相适应。预防措施的文件化程序应该规定以下方面的要求：

识别潜在不符合及其原因； 确定并实施所需的预防措施； 记录所采取措施的结果； 评审所采取的预防措施； 识别已变化的风险，并确保对发生重大变化的风险予以关注。