Mi primera recomendación para lo que estás buscando sería SOMAP . Su sitio web reclama el código abierto, pero no estoy seguro de que satisfaga sus necesidades por completo.
Esta pregunta es similar a esta otra pregunta , pero te dejaré decidir si algo tiene valor allí.
En el dominio del gobierno, el Instituto Nacional de Estándares de Tecnología (NIST) tiene una publicación especial 800-37, que originalmente se tomó del estándar FITSAF sobre evaluaciones de riesgo, por lo que vale la pena mencionarlo.
El libro, "Information Security Management Handbook, Sixth Edition", explica que las evaluaciones de riesgos de seguridad generalmente se basan en un modelo de cadena de valor . Otro libro, Cómo completar una evaluación de riesgos en 5 días o menos , cubre el proceso FRAAP del autor. Hay algunos libros que están saliendo muy pronto que buscan responder mejor a tu pregunta. Uno es de Syngress Press y por el autor Evan Wheeler. Otro, de Douglas Landoll, se encuentra en su segunda edición. Ha salido un libro reciente de Andrew A. Vladimirov, pero todavía no lo he leído.