We hebben rekening gehouden met de bedreigingen en kansen, waar voordelen kunnen ontstaan, en die van de belanghebbenden verwachtingen van het ISMS. Dat heeft geleid tot de ISMS-resultaten en tot de werkzaamheden die gedaan moeten worden als onderdeel van de oplossing.
Zolang de organisatie neemt veiligheid serieus en gaat verder dan de afvinkmentaliteit. Waarschijnlijk is inmiddels wel duidelijk dat niets doen geen optie is. De RoI is hoog, welk implementatietraject ook wordt gevolgd. Het is nu tijd om na te denken over de beste manier om de doelen te bereiken en hoe het ISMS zelf in te voeren.
Als onderdeel van business case kostenopbouw is het over het algemeen een analyse van build- versus buy-opties. Net als bij de eerder genoemde baten-/rendementanalyse kan deze investeringsafweging worden uitgevoerd op elk niveau dat nodig is om de organisatie vertrouwen te geven in haar beslissing. In het volgende gedeelte kijken we naar factoren waarmee rekening moet worden gehouden bij de besluitvorming over bouwen versus kopen.