威胁建模是信息系统安全风险评估中常用的方法，用于识别可能的威胁和潜在的攻击路径。其他选项虽然可能用于评估，但不属于标准方法。