카네기멜론 대학의 SEI(Software Engineering Institute)는 개인 의료 정보의 보안을 규정한 HIPP A(Health Insurance Portability and Accountability Act)의 조항을 미 국방부(DoD)가 제청하면서 직면하게 된 보안 준수의 난항을 해결하기 위해서 TATRC(Telemedicine and Advanced Technology Research Center)와 공동으로 자산 식별 및 정보보호 위험평가를 위한 방법론인 OCTAVE를 개발하였다. 이후 조직의 운영 과정에서 발생하는 위험의 내성을 높이기 위한 질적 위험평가 기준이 개발되었으며 이를 통해 조직의 중요한 자산 및 잠재적 위협과 취약점을 식별하는 위험평가 방법으로 발전하였고, 2005년에는 100명이하의 소규모 조직에 적합한 OCTAVE-S가 발표되었다. 오늘날 급변하고 있는 IT 환경에서 기존의 OCTAVE 보다 간소화되고 최적화된 위험평가 프로세스를 제공하기 위해서 2007년에 OCTAVE Allegro 프레임워크가 개발되었다. 본고에서는 기존의 OCTAVE 방법론의 주요 특정을 살펴보고, 정보자산 중심의 OCTAVE Allegro 위험 평가 방법론을 소개한다.