对于您要寻找的内容，我的第一个建议是SOMAP。他们的网站声称是开源的，但我不确定它是否完全满足您的需求。

这个问题与其他问题类似，但我会让你决定那里是否有任何有价值的东西。

在政府领域，美国国家标准技术研究院 (NIST) 有专门的出版物 800-37，最初取自 FITSAF 风险评估标准，因此值得一提。

《信息安全管理手册，第六版》一书解释说，安全风险评估通常基于价值链模型。另一本书《如何在 5 天或更短的时间内完成风险评估》涵盖了作者的 FRAAP 流程。有几本书很快就会出版，可以最好地回答你的问题。一个来自 Syngress Press 和作者 Evan Wheeler。Douglas Landoll 的另一本是第二版。Andrew A. Vladimirov 最近出版的一本书，但我还没有读过。

该OSSTMM可能成为候选人，但不知道牌：看到这里的细节