שקלנו את האיומים וההזדמנויות, היכן עשויות להיווצר יתרונות, ושל בעלי העניין הציפיות מה-ISMS. זה הוביל לתוצרי ה-ISMS ולאיזה עבודה צריך לעשות כחלק מהפתרון.
כל עוד הארגון רציני לגבי האבטחה וחורג מהמנטליות של tick-box כנראה שעכשיו ברור שלא לעשות כלום זו לא אופציה. ה-ROI גבוה בכל נתיב יישום שנלקח. הגיע הזמן לשקול את הדרך הטובה ביותר להשיג את המטרות וכיצד להקים את ה-ISMS עצמו.
כחלק מ - מקרה עסקי בניית עלות זה בדרך כלל ניתוח אופציות בנייה לעומת קנייה. כמו ניתוח היתרונות/החזרים קודם לכן, שיקול השקעה זה יכול להיעשות בכל רמה הנדרשת כדי שהארגון ירגיש בטוח לגבי ההחלטה שלו. בסעיף הבא נבחן גורמים שיש לקחת בחשבון בקבלת החלטות בנייה לעומת קנייה.