Technical Department of ENISA Section Risk Management telah membuat daftar dari metode yang ada. Perlu diketahui, daftar yang dibuat ini tidak mencakup seluruh metode yang ada pada saat daftar ini dibuat. Daftar yang dibuat ini merupakan daftar terbuka, yang artinya metode – metode baru akan ditambahkan di masa yang akan datang.  Metode – metode khusus yang tidak dicantumkan dalam daftar ini adalah :

Perbandingan metode penilaian risiko (Technical Department of ENISA Section Risk Management , 2006)

Choo (1988) mendefinisikan aset informasi sebagai bagian informasi yang didefinisikan serta disimpan dengan cara apapun yang diakui sebagai hal yang berharga bagi organisasi.

Jake Koun (2010) mendefinisikan  aset informasi sebagai elemen data aktual, catatan, arsip, sistem perangkat lunak (aplikasi), dan sebagainya.

Jake Koun (2010) menjelaskan risiko adalah pengukuran kuantitatif dari potensi kerusakan  yang disebabkan ancaman, celah keamanan, atau dari suatu peristiwa (memiliki niat jahat atau tidak) yang mempengaruhi sekeumpulan aset teknologi informasi yang dimiliki oleh perusahaan. Paparan terhadap risiko (yaitu, menjadi subjek dari peristiwa yang menimbulkan risiko) menyebabkan kerugian potensial, dan risiko adalah suatu ukuran dari kerugian “rata-rata” (tipikal) yang bisa diharapkan dari paparan tersebut. Risiko, maka daripada itu, adalah ukuran kuantitatif dari kerusakan yang dapat terjadi terhadap aset tertentu bahkan setelah sejumlah pencegahan keamanan informasi telah digunakan oleh organisasi

Christopher Alberts (2002) menjelaskan risiko sebagai kemungkinan terkena kerusakan atau kerugian. Hal ini mengacu pada situasi dimana seseorang bisa melakukan sesuatu yang tidak diinginkan atau kejadian alam dapat menyebabkan hasil yang tidak diinginkan, yang menghasilkan dampak negatif.

Gary Stoneburner (2002) menjelaskan risiko adalah sebuah fungsi dari kemungkinan terjadinya sebuah ancaman yang berhubungan dengan celah keamanan potensial, dan dampak yang dihasilkan dari peristiwa yang merugikan tersebut pada organisasi.

Menurut Michael dan Herbert (2010), kerentanan adalah jalan tertentu dimana agen dari ancaman dapat masuk untuk menyerang aset informasi.

Ancaman (Richard A. Caralli, 2007) adalah indikasi dari kemungkinan munculnya kejadian yang tidak diharapkan. ancaman mengacu kepada situasi (atau skenario) dimana seseorang dapat melakukan tindakan yang tidak diharapkan (contohnya seorang penyerang memulai denial of service terhadap server email perusahaan) atau kejadian alam dapat menyebabkan hasil yang tidak diinginkan (sebagai contoh kebakaran yang merusak perangkat keras sistem informasi perusahaan). Sebuah ancaman diciptakan ketika seorang aktor mengeksploitasi celah kerentanan dari sebuah sistem.

Menurut Whitman (2010) keamanan informasi adalah perlindungan terhadap informasi dan karakteristik kritikal yang dimilikinya (confidentiality, integrity, dan availability), termasuk didalamnya sistem dan perangkat keras yang mengunakan, menyimpan, dan mengirimkan informasi tersebut, melalui penerapan kebijakan, pelatihan dan program kesadaran akan keamanan informasi, dan teknologi.

Menurut Schwartz (1990), kerugian yang terkait keamanan informasi akan terus terjadi dan dampaknya akan menghancurkan organisasi. Menurut Saint-Germain (2005), organisasi perlu mengidentifikasikan dan menerapkan kontrol yang tepat untuk menjamin keamanan informasi yang memadai. Van de Haar dan Von Solms (2003) menyatakan bahwa kontrol keamanan informasi membantu organisasi dalam menyediakan tingkat keamanan yang dibutuhkan organisasi untuk informasi mereka. keamanan informasi yang efektif dapat dicapai melalui usaha bersama dari information system owner, user, custodian, security personnel, customer, dan stakeholder lainnya yang bertanggung jawab (Conner & Swindle, 2004). Dari hal – hal diatas dapat disimpulkan bahwa keamanan informasi bergantung terhadap kontrol keamanan informasi yang diterapkan perusahaan. Pengaruh pemilik informasi maupun custodian dalam menggunakan informasi dan menjaga informasi juga memberikan sumbangsih terhadap keamanan informasi. Dan dampak dari tidak tersedianya kontrol keamanan informasi yang memadai, dapat memberikan kerugian yang bisa terus menerus terjadi jika langkah – langkah penerapan kontrol tidak dilakukan. (Richard A. Caralli, 2007).

Terdapat delapan langkah OCTAVE Allegro, yaitu:

1. Membangun kriteria pengukuran risiko

Pada langkah pertama ini, organizational driver yang akan digunakan untuk mengevaluasi akibat dari sebuah risiko terhadap misi dan tujuan bisnis perusahaan diidentifikasi. Kriteria pengukuran risiko digunakan untuk mengevaluasi akibat dalam masing – masing area dan memprioritaskannya. Di dalamnya terdapat ukuran – ukuran kualitatif yang risikonya dapat dievaluasi dan membentuk dasar dari penilaian risiko sistem informasi.

2. Membangun profil aset informasi

Langkah kedua adalah membangun profil aset informasi atas aset – aset perusahaan. Profil merupakan representasi dari aset informasi yang menggambarkan fitur, kualitas, karakteristik, dan nilai yang unik. Metode ini berguna untuk meyakinkan bahwa aset tersebut secara jelas dan konsisten digambarkan sehingga dapat menghindari definisi yang ambigu dari batas-batas aset dan memudahkan dalam menyusun kebutuhan keamanan informasi.

3.  Mengidentifikasi container dari aset informasi

Container adalah tempat dimana aset informasi disimpan, dikirim, dan diproses. Dalam langkah ketiga, semua container yang menyimpan, mengirim, dan memproses, baik internal maupun eksternal diidentifikasikan.

4.  Mengidentifikasikan area yang diperhatikan

Langkah keempat merupakan proses identifikasi risiko melalui cara brainstorming mengenai kondisi atau situasi yang memungkinkan yang dapat mengancam aset informasi perusahaan. Tujuan dari proses ini adalah secara cepat mengetahui situasi atau kondisi yang terlintas secara tiba – tiba dalam benak tim analisis.

5.  Mengidentifikasi skenario ancaman

Dalam langkah kelima ini, area – area yang telah diidentifikasi pada langkah sebelumnya diperluas menjadi skenario ancaman yang lebih jauh mendetailkan properti dari sebuah ancaman dengan menggunakan sebuah threat tree. Langkah ini berguna untuk memberikan pertimbangan atas kemungkinan dalam skenario ancaman. Kemungkinan ini kemudian dibagi ke dalam high, medium, atau low.

6.  Mengidentifikasi risiko

Pada langkah keenam, konsekuensi bagi organisasi jika sebuah ancaman terjadi dicatat, dalam mendapatkan gambaran risiko secara lengkap. Sebuah ancaman dapat mempunyai akibat – akibat yang potensial bagi organisasi.

7. Menganalisa risiko

Pada langkah ketujuh, pengukuran kuantitatif sederhana dari sejauh mana organisasi terkena dampak dari threat dihitung. Nilai risiko relatif didapatkan dengan cara mempertimbangkan sejauh mana konsekuensi atas dampak risiko terhadap berbagai impact area, dan memperkirakan kemungkinannya.

8.  Memilih pendekatan pengurangan risiko

Dalam langkah terakhir dari proses Octave Allegro ini, organisasi menentukan risiko yang memerlukan mitigasi dan mengembangkan strategi untuk mengurangi risiko tersebut. Hal ini dilakukan dengan cara memprioritaskan risiko – risiko berdasarkan nilai risiko relatif, kemudian mengembangkan strategi mitigasi dengan mempertimbangkan nilai dari aset dan kebutuhan keamanan, kontainer atas aset, serta lingkungan operasional yang unik dari organisasi.

Terdapat empat tahap dalam OCTAVE Allegro, yaitu:

1. Membangun drivers, dimana perusahaan mengembangkan kriteria pengukuran risiko yang konsisten dengan organizational drivers (hal-hal yang menggerakkan organisasi).
2. Membuat profil aset, dimana aset yang menjadi fokus dari penilaian risiko diidentifikasi dan digambarkan, dan asset container diidentifikasikan.
3. Mengidentifikasi ancaman, dimana ancaman terhadap aset (dalam lingkup container mereka) diidentifikasikan dan didokumentasikan melalui proses terstruktur.
4. Mengidentifikasi dan mengurangi risiko, dimana risiko yang diidentifikasikan dan dianalisis yang didasari dari informasi ancaman, dan rencana mitigasi dikembangkan dalam menanggapi risiko tersebut.

Sekarang ini (Maret 2011) terdapat tiga varian OCTAVE yang bisa digunakan. Varian tersebut adalah : OCTAVE method, OCTAVE-S, dan OCTAVE Allegro. Ketiga metode tersebut bukanlah metode yang saling melengkapi, atau menggantikan satu sama lain. Penggunaan ketiga metode tersebut dimaksudkan untuk memenuhi kebutuhan spesifik dari pengguna OCTAVE yang ingin melakukan penilaian risiko. Berikut ini akan dijelaskan secara singkat mengenai ketiga metode tersebut.

• Metode OCTAVE

Metode OCTAVE merupakan versi OCTAVE yang pertama kali dikembangkan. Metode OCTAVE dilakukan dengan cara diadakannya rangkaian workshop dan difasilitasi oleh tim analisis yang dibuat dari unit bisnis yang ada didalam perusahaan dan departemen IT.

Metode OCTAVE ditujukan untuk perusahaan besar yang memiliki lebih dari 300 orang staf. Secara spesifik, metode OCTAVE didesain untuk perusahaan yang memiliki karakteristik sebagai berikut:

–   memiliki multi level hirarki

–   mengurus infrastruktur IT mereka sendiri

–   memiliki kemampuan untuk melakukan alat evaluasi kerentanan

–   memiliki kemampuan untuk menginterpretasikan hasil dari evaluasi kerentanan

• OCTAVE-S

Pengembangan OCTAVE-S didukung oleh program Technology Insertion, Demonstration, and Evaluation (TIDE) pada SEI (Software Engineering Institute), yang bertujuan untuk membawa pendekatan OCTAVE pada perusahaan kecil. Versi terkini dari OCTAVE-S (versi 1.0) dirancang secara spesifik untuk perusahaan yang memiliki 100 staf atau kurang.

Sejalan dengan OCTAVE method, OCTAVE-S juga terdiri dari tiga tahap. Namun, OCTAVE-S dilakukan oleh tim analisis yang memiliki pengetahuan mendalam tentang perusahaan. Maka daripada itu, OCTAVE-S tidak mengandalkan informasi yang dikumpulkan dari workshop yang dilakukan karena OCTAVE-S mengambil asumsi bahwa tim analisis (biasanya terdiri dari tiga atau lima orang) memiliki pengetahuan dari aset penting yang berhubungan dengan informasi, kebutuhan keamanan, ancaman, dan praktek keamanan didalam perusahaan.

• OCTAVE  Allegro

Tujuan yang ingin dicapai oleh OCTAVE Allegro adalah penilaian yang luas terhadap lingkungan risiko operasional suatu organisasi dengan tujuan menghasilkan hasil yang lebih baik tanpa perlu pengetahuan yang luas dalam hal penilaian risiko. Pendekatan ini berbeda dari pendekatan OCTAVE, dimana OCTAVE Allegro lebih berfokus terhadap aset informasi dalam konteks bagaimana mereka digunakan, dimana mereka disimpan, dipindahkan, dan diolah, dan bagaimana mereka terkena ancaman, kerentanan, dan gangguan sebagai hasil yang ditimbulkan.