La publicación especial 800-37 del NIST , "Guía para aplicar el marco de gestión de riesgos a los sistemas de información federales", fue desarrollada por el grupo de trabajo de la Iniciativa de Transformación del Grupo de Trabajo Conjunto. La primera revisión tuvo como objetivo transformar el proceso tradicional de Certificación y Acreditación (C&A) en el Marco de Gestión de Riesgos (RMF), y la segunda versión abordó los controles de privacidad de una manera más central y agregó un paso preparatorio.
El segundo paso del RMF es seleccionar el subconjunto apropiado de controles de seguridad del catálogo de controles en la Publicación Especial 800-53 del NIST .
La publicación especial NIST 800-37 Rev. 1 se publicó en febrero de 2010 con el título "Guía para aplicar el marco de gestión de riesgos a los sistemas de información federales: un enfoque de ciclo de vida de seguridad". Esta versión describía seis pasos en el ciclo de vida del marco de gestión de riesgos. La Rev. 1 se retiró el 20 de diciembre de 2019 y fue reemplazada por SP 800-37 Rev. 2. [1]
La publicación especial NIST 800-37 Rev. 2 se publicó en diciembre de 2019 con el título "Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy". Entre otros cambios, esta versión aumentó el número de pasos en el RMF de seis a siete, agregando un nuevo paso "Preparar" como paso 0. [2]