Términos de referencia respecto a los que se evalúa la importancia de un riesgo.
Los criterios de riesgo se basan en los objetivos de la organización, y en el contexto externo e interno.
Los criterios de riesgo se pueden obtener de normas, leyes, políticas y otros requisitos.