ISMSの全体の流れを、PDCAに当てはめながら、書き出してみた。　
　



PLAN
�@（初年度・認証取得前）適用範囲を決める。
�A（〃　）規格書の要求する各文書（ISMSマニュアル等）の作成を開始する。
�B情報資産を洗い出す。
�Cリスクマネジメントをする。残留リスクについてCIOの承認を得る。
�D（初年度・認証取得前）ISMS規格書内の管理策から取捨選択する。
　　（取得後は適宜見直し）
�ECIO（その組織の最高情報責任者）にISMSの導入・運用について決裁をとる。
�F適用宣言書（�Dで管理策取捨選択後、管理策目的・管理策・そしてそれを取り入れた理由の書かれたもの）の作成。

DO
�G教育・訓練を行う。（BCP・事業継続計画の一環で、避難訓練をしたり、停電時のロールプレイングを行う。）
�H（認証取得後2年目以降）文書の見直し。
�I同時進行で、リスク対応計画書を作成、計画を実施する。

CHECK
�J管理策の有効性を測定する。（できれば、で、いいらしい？？）
�K組織内で内部監査を受ける。
�L内部監査で受けた指摘事項を直す。
�Mマネジメントレビュー（ISMS運用が適切であるかどうか一度見直す）
�N認証審査機関による審査を受ける。（初年度は取得、2年度以降はサーベイランスといって、継続のため）
�O審査に合格、何か指摘されたら直す。

ACT
�P是正措置、予防措置を行う。
�Q次年度の計画を立てる。

…と、大体こんな感じ。
ISMSをこれからどのように進めていくのか、年間計画を立てるのも大切な手順の一つ。
認証取得前の初期は、作業をまた差し戻すこともあるし、みんなが解るように、自分たちの業務スケジュールにあった年間計画を立てておこう。