durante su ciclo de vida, un sistema de información encontrará muchos tipos de riesgo que afectan la postura de seguridad general del sistema y los controles de seguridad que deben implementarse. El proceso RMF apoya la detección temprana y la resolución de riesgos. El riesgo puede clasificarse a alto nivel como Riesgos de infraestructura, riesgos de proyectos, riesgos de aplicaciones, riesgos de activos de información, riesgos de continuidad del negocio, riesgos de externalización, riesgos externos y riesgos estratégicos. Los riesgos de infraestructura se centran en la fiabilidad de las computadoras y los equipos de red., Los riesgos del proyecto se centran en el presupuesto, el cronograma y la calidad del sistema. Los riesgos de la aplicación se centran en el rendimiento y la capacidad general del sistema. Los riesgos de los activos de información se centran en el daño, la pérdida o la divulgación de una parte no autorizada de los activos de información. Los riesgos de continuidad del negocio se centran en mantener un sistema confiable con el máximo tiempo de actividad. Los riesgos de Outsourcing se centran en el impacto de que un proveedor tercero cumpla con sus requisitos. Los riesgos externos son elementos fuera del control del sistema de información que afectan la seguridad del sistema., Strategic risks se centra en la necesidad de que las funciones del sistema de información se alineen con la estrategia comercial que apoya el sistema.