El NIST o Instituto Nacional de Estándares y Tecnología ofrece documentos relacionados con la seguridad informática, y nos brinda una guía con pautas para realizar nuestras actividades. Esta en inglés.
Documento sencillo de unas 50 páginas que ofrece una metodología para poner en práctica. Excelente guía de referencia y consulta. Es una guía para la gestión de riesgos informáticos.
Para obtener más información podemos visitar la web csrc.nist.gov
http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf
Actualización:
http://csrc.nist.gov/publications/nistpubs/800-30-rev1/sp800_30_r1.pdf
Otras guías del NIST:
http://www.segu-info.com.ar/guias/nist.htm
Notas:
Existen otras metodologías interesantes como pueden ser OCTAVE del CERT, OCTAVE-S para Pymes.
MAGERIT versión 3. Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información