La publicación especial 800-37 del NIST , "Guía para aplicar el marco de gestión de riesgos a los sistemas de información federales", fue desarrollada por el Grupo de Trabajo de la Iniciativa de Transformación de la Fuerza de Tarea Conjunta. La primera revisión tuvo como objetivo transformar el proceso tradicional de Certificación y Acreditación (C&A) en el Marco de Gestión de Riesgos (RMF), y la segunda versión abordó los controles de privacidad de una manera más central y agregó un paso preparatorio.
El segundo paso del RMF es seleccionar el subconjunto apropiado de controles de seguridad del catálogo de control en la Publicación especial 800-53 del NIST .
La publicación especial NIST 800-37 Rev. 1 se publicó en febrero de 2010 con el título "Guía para aplicar el marco de gestión de riesgos a los sistemas de información federales: un enfoque del ciclo de vida de la seguridad". Esta versión describe seis pasos en el ciclo de vida de RMF. Rev. 1 fue retirado el 20 de diciembre de 2019 y reemplazado por SP 800-37 Rev. 2. [1]
La publicación especial NIST 800-37 Rev. 2 se publicó en diciembre de 2019 con el título "Marco de gestión de riesgos para sistemas de información y organizaciones: un enfoque del ciclo de vida del sistema para la seguridad y la privacidad". Entre otros cambios, esta versión aumentó el número de pasos en el RMF de seis a siete, al agregar un nuevo paso "Preparar" como paso 0. [2]