Es el riesgo intrínseco de cada activo, sin tener en cuenta los controles (salvaguardas/medidas) de mitigación que se hayan implementado. Este riesgo surge de la exposición que los activos presenten y de la probabilidad de que una amenaza le afecte debido a sus vulnerabilidades.