durante o seu ciclo de vida, um sistema de informação irá encontrar muitos tipos de risco que afectam a postura global de segurança do sistema e os controlos de segurança que devem ser implementados. O processo RMF apoia a detecção precoce e a resolução de riscos. O risco pode ser categorizado em alto nível como riscos de infraestrutura, riscos de projeto, riscos de Aplicação, riscos de ativos de informação, riscos de continuidade de Negócio, riscos de terceirização, riscos externos e riscos estratégicos. Os riscos de Infraestrutura se concentram na confiabilidade de computadores e equipamentos de rede., Os riscos do projeto se concentram no orçamento, cronograma e qualidade do sistema. Os riscos de aplicação se concentram no desempenho e na capacidade global do sistema. Os riscos dos ativos de informação focam-se nos danos, perdas ou divulgação a uma parte não autorizada dos ativos de informação. Os riscos de continuidade de Negócio concentram-se na manutenção de um sistema fiável com o máximo de tempo de funcionamento. Os riscos de terceirização se concentram no impacto do Fornecedor de terceiros que atendem aos seus requisitos. Os riscos externos são itens fora do controle do sistema de informação que afetam a segurança do sistema., Os riscos estratégicos se concentram na necessidade de funções do sistema de informação para se alinhar com a estratégia de negócios que o sistema suporta.