Durante il suo ciclo di vita, un sistema informativo incontrerà molti tipi di rischio che influenzano la posizione di sicurezza complessiva del sistema e i controlli di sicurezza che devono essere implementati. Il processo RMF supporta la diagnosi precoce e la risoluzione dei rischi. Il rischio può essere classificato ad alto livello come rischi infrastrutturali, rischi di progetto, rischi applicativi, rischi di asset informativi, rischi di continuità aziendale, rischi di outsourcing, rischi esterni e rischi strategici. I rischi infrastrutturali si concentrano sull’affidabilità dei computer e delle apparecchiature di rete., I rischi del progetto si concentrano sul budget, sulla tempistica e sulla qualità del sistema. I rischi applicativi si concentrano sulle prestazioni e sulla capacità complessiva del sistema. I rischi delle risorse informative si concentrano sul danno, la perdita o la divulgazione di una parte non autorizzata delle risorse informative. I rischi di continuità aziendale si concentrano sul mantenimento di un sistema affidabile con il massimo tempo di operatività. I rischi di outsourcing si concentrano sull’impatto del fornitore di terze parti che soddisfa i loro requisiti. I rischi esterni sono elementi al di fuori del controllo del sistema informativo che influiscono sulla sicurezza del sistema., Rischi strategici si concentra sulla necessità di funzioni del sistema informativo per allineare con la strategia di business che il sistema supporta.