En este enlace, Microsoft TechNet - Análisis de Riesgos se encuentra la metodología que utiliza Microsoft para realizar un análisis de riesgos en materia de seguridad de los sistemas de información. Básicamente, todas las metodologías comparten un mismo cuerpo:
- Identificación de activos, inventariando y cuantificando cada uno de ellos.
- Identificación de amenazas
- Estimación de vulnerabilidades
- Estimación de impactos

Calculo de riesgo= función (vulnerabilidad, impacto).

La gestión del riesgo implica más cosas. Con MAGERIT, metodología para el análisis y la gestión de riesgos en sistemas de información, del Ministrario de Administraciones Públicas, además se puede utilizar una herramienta software para hacer simulación. Todo es gratuito, dado que es propiedad del estado. La dirección en donde encontrar este material es MAGERIT, web del MAP