pe parcursul ciclului său de viață, un sistem informatic se va confrunta cu multe tipuri de risc care afectează poziția generală de securitate a sistemului și controalele de securitate care trebuie implementate. Procesul RMF sprijină detectarea timpurie și rezolvarea riscurilor. Riscul poate fi clasificat la nivel înalt ca riscuri de infrastructură, riscuri de proiect, riscuri de aplicație, riscuri de active informaționale, riscuri de continuitate a afacerii, riscuri de externalizare, riscuri externe și riscuri strategice. Riscurile de infrastructură se concentrează pe fiabilitatea computerelor și a echipamentelor de rețea., Riscurile proiectului se concentrează pe buget, cronologie și calitatea sistemului. Riscurile aplicațiilor se concentrează pe performanță și pe capacitatea generală a sistemului. Riscurile activelor informaționale se concentrează pe deteriorarea, pierderea sau dezvăluirea către o parte neautorizată a activelor informaționale. Riscurile de continuitate a afacerii se concentrează pe menținerea unui sistem fiabil cu timp maxim de funcționare. Outsourcing riscurile se concentreze pe impactul 3rd furnizor de partid îndeplinirea cerințelor lor. Riscurile externe sunt elemente din afara controlului sistemului informatic care afectează securitatea sistemului., Riscurile strategice se concentrează pe nevoia de funcții ale sistemului informatic care să se alinieze strategiei de afaceri pe care sistemul o acceptă.