Vi har vurdert truslene og mulighetene, hvor fordelene kan oppstå, og interessentens forventninger fra ISMS. Det har ført til ISMS-leveransene og det arbeidet som må gjøres som en del av løsningen.
Så lenge organisasjonen er seriøs når det gjelder sikkerhet og går utover tick-box-mentaliteten. Det er nok klart nå at å gjøre ingenting ikke er et alternativ. Avkastningen er høy uansett hvilken implementeringsvei som tas. Det er nå på tide å vurdere den beste måten å nå målene på og hvordan man kan få på plass selve ISMS.
Som en del av forretningssak kostnadsbygging det er generelt en bygge- versus kjøpsopsjonsanalyse. I likhet med fordeler/avkastningsanalysen tidligere kan denne investeringsbetraktningen gjøres på det nivået som kreves for at organisasjonen skal føle seg trygg på sin beslutning. I den neste delen ser vi på faktorer som bør vurderes i bygge kontra kjøpsbeslutninger.