ISMSをここまで構築して、終わったからといってほっとしていてはいけない。 規格書項目番号８には、ISMS自体の有効性を継続的に改善し続けることが義務付けられている。 改善するにはどこが悪いか解っている必要があるので、内部監査やマネジメントレビューなどの結果を受けて行うことが多く、そこがPDCAの順番通りではないことの要因になっている(Check途中で行うこともある)。
規格書のこの項目に書かれている改善の方法は２つ。
是正処置と予防処置だ。
是正処置は既に起きてしまったインシデントの原因を特定して修正するためのもの、という意味合いもあるが、ユーザーズガイドによると、内部監査やマネジメントレビューで発見された不適合を改善するために行われるもののことを言うらしい。 一番わかりやすいのはISMS認証を取得する際のチェック（外部機関による審査）の時で、「どこそこの何々が規格書通りになっていませんので、是正処置をしてください」と審査員から指摘をうけて処置を施すこともある。
予防処置はその名の通りこれから起こりうる不具合の発生を防止するための措置のこと。
つまり不具合が現存するか、発生前かで、同じ改善でも呼び方が変わるのだ。