Jedes Managementsystem sollte auf kontinuierliche Verbesserung ausgelegt sein. Ein Managementsystem, dass nur den Status Quo aufrechterhält ist kaum erstrebenswert. So ist kontinuierliche Verbesserung auch eine Kernanforderung eines Informationssicherheits-Managementsystems nach ISO/IEC 27001.
Ein Werkzeug zur Identifikation von Verbesserungspotential kann das interne Audit sein. Per Definition ist ein Audit ein systematischer, unabhängiger und dokumentierter Prozess zur Erlangung von Auditnachweisen und zu deren objektiven Auswertung, um zu ermitteln, inwieweit Auditkriterien erfüllt sind.

Die internationale Norm ISO/IEC 27001 beschreibt ein Informationssicherheits-Managementsystem (ISMS). Ein Managementsystem besteht aus Leit- und Richtlinien, Prozessen und Verfahren, Dokumenten und Aufzeichnungen, Kontrollmechanismen und Leistungsbewertungen sowie aus Maßnahmenzielen und Maßnahmen. Das ISMS orientiert sich dabei am PDCA-Zyklus um eine kontinuierliche Verbesserung der Informationssicherheit und des Managements der Informationssicherheit zu erreichen.

Der Begriff “Managementsystem” ist aus vielen Bereichen der Unternehmensorganisation bereits bekannt. Es gibt Managementsysteme z. B. für Qualität (ISO 9001) oder Informationssicherheit (ISO 27001). Managementsystem bezeichnet dabei die Gesamtheit all dessen, was ein Unternehmen benötigt um einen Aspekt des Unternehmens zu steuern.

Zu einem Managementsystem gehören typischerweise:

Die DSGVO verfolgt zwei Ziele:

1. Den Menschen davor zu schützen, dass ihm durch die Verarbeitung seiner Daten Schaden entsteht.
2. Den freien Fluss personenbezogener Daten in der EU sicherstellen.

Um dieses Ziel zu gewährleisten definiert die DSGVO ein Gerüst aus Grundsätzen der Datenverarbeitung. Diese Grundsätze werden konkretisiert als Rechte betroffener Personen und Anforderungen, die derjenige zu erfüllen hat, der die Daten verarbeitet. Diese Anforderungen können inhaltlich, organisatorisch und technisch sein.

Der Datenschutz basiert auf dem Grundsatz der informationellen Selbstbestimmung. D. h. jeder Mensch muss selbst entscheiden können, was ein Anderer über ihn wissen darf und wie der Andere dieses Wissen nutzen darf. Daher legt Artikel 8 der Charta der Grundrechte der Europäischen Union fest, dass „jeder Mensch das Recht auf den Schutz sie betreffender Daten hat. Diese Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. Jede Person hat das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken.“