Eintrittswahrscheinlichkeit beschreibt, wie wahrscheinlich ein bestimmtes Risikoereignis innerhalb eines definierten Zeitraums eintritt. Sie ist eine der beiden Dimensionen der Risikobewertung — die andere ist das Schadensausmaß.
Im ISMS wird die Eintrittswahrscheinlichkeit häufig auf einer qualitativen Skala bewertet (z. B. selten / gelegentlich / wahrscheinlich / sehr wahrscheinlich). ISO 27005 empfiehlt, dabei historische Vorfälle, aktuelle Bedrohungslage und vorhandene Schutzmaßnahmen zu berücksichtigen. Die Kombination aus Eintrittswahrscheinlichkeit und Schadensausmaß ergibt das Risikoniveau. Dieses bestimmt, ob ein Risiko akzeptiert, behandelt, vermieden oder übertragen wird.