Au cours de son cycle de vie, un système d’information sera confronté à de nombreux types de risques qui affectent la posture de sécurité globale du système et les contrôles de sécurité qui doivent être mis en œuvre. Le processus RMF favorise la détection et la résolution précoces des risques. Les risques peuvent être classés à un niveau élevé comme les risques d’infrastructure, les risques de projet, les risques d’application, les risques liés aux actifs d’information, les risques de continuité des activités, les risques d’externalisation, les risques externes et les risques stratégiques. Les risques d’Infrastructure se concentrent sur la fiabilité des ordinateurs et des équipements de réseau., Les risques du projet se concentrent sur le budget, le calendrier et la qualité du système. Les risques liés aux applications se concentrent sur les performances et la capacité globale du système. Les risques liés aux actifs informationnels se concentrent sur les dommages, les pertes ou la divulgation à une partie non autorisée des actifs informationnels. Les risques de continuité des activités se concentrent sur le maintien d’un système fiable avec un temps de disponibilité maximal. Les risques d’externalisation se concentrent sur l’impact du fournisseur tiers répondant à leurs exigences. Les risques externes sont des éléments en dehors du contrôle du système d’information qui ont une incidence sur la sécurité du système., Les risques stratégiques mettent l’accent sur la nécessité que les fonctions du système d’information soient alignées sur la stratégie opérationnelle que le système appuie.