CRAMM ( CCTA Risk Analysis and Management Method ) es una metodología de gestión de riesgos, actualmente en su quinta versión, CRAMM Versión 5.0.
CRAMM fue creado en 1987 por la Agencia Central de Informática y Telecomunicaciones (CCTA), ahora renombrada como Oficina del Gabinete , del gobierno del Reino Unido.
El CRAMM consta de tres etapas, cada una de ellas respaldada por cuestionarios y directrices objetivos. Las dos primeras etapas identifican y analizan los riesgos para el sistema. La tercera etapa recomienda cómo deben gestionarse estos riesgos.
Identificación y selección de contramedidas que sean proporcionales a las medidas de riesgos calculadas en la Etapa 2.
CRAMM contiene una biblioteca de contramedidas muy grande que consta de más de 3000 contramedidas detalladas organizadas en más de setenta agrupaciones lógicas.
CRAMM está siendo utilizado por la OTAN , las fuerzas armadas holandesas y corporaciones que trabajan activamente en seguridad, como Unisys .