Интересные статьи и источники на тему:
http://www.osp.ru/text/302/172173/http://offline.cio-world.ru/2004/32/37225/http://searchcio.techtarget.com/originalCo...i994851,00.html• FRAP: Facilitated Risk Analysis (Assessment) Process,
http://www.peltierassociates.com/frap.htm• CRAMM: The CCTA's Risk Analysis and Management Method
http://www.cramm.com/overview/history.htm• OCTAVE: Operationally Critical Threat, Asset, and Vulnerability Evaluation
http://www.cert.org/octave/ http://www.educause.edu/content.asp?page_id=1251&bhcp=1http://www.riskworld.com/и т.д.
Лично я предпочитаю в работе ссылаться на CobiT и не замыкаться на рисках, а акцентировать внимание на соответствие сложившейся системы управления информационными системами целям компании (это вкратце)