皆さん、こんにちは！iso27001

RFIレベルのINPUTがないと答えるのは難しいと思いますよ。ソフトウェアの組合せだけで済むかどうかも要件しだいですし、RFI回答書となるとたぶん親切心やおせっかいでお答えできる範囲を超えています。 資産インベントリやセキュリティインシデント（これ、チケット管理ですよね）あたりは、規模や要件によっては対応できる製品もあるだろうけど、製品で対応できなければ開発になりますし、そのときはデータベース開発まで含まれます。 リスクアセスメントはBI技術が必要かどうかとか、そうなると多大な開発工数もかかるでしょう。 ですので、複数の運用管理系ソフトウェアベンダーから資料を取り寄せた上で多少勉強して、複数のSIerにRFIを発行するところから進めるのが現実的でしょう。 RFIの発行からその回答を受けてSIerを絞り込み、最終的にRFPして提案書を評価してSIerと製品の大体の枠、予算、スケジュールを決めて、そこから関係者からのヒアリング、グランドデザイン策定とかって、規模を最大限見積もると億単位じゃすまないお話です。 たぶんここで答えられるのはどういう製品があるのか程度かなと思います。