1.两者实施目的各有侧重。在CISSP中，风险评估在安全管理中提出，是风险管理的一个组成部分，目的是为了帮助组织采用合适的技术和管理的手段防范和控制组织的风险，强调预防。而业务影响分析则在业务员连续性中提出，是业务连续性规划的第一步，目的是为了帮助组织制定合适的业务连续性计划，减少业务中断对组织产生的影响，强调纠正。当然，在企业的业务连续性规划中，风险评估也是不可或缺的一部分。它与业务影响分析共同为组织的业务连续性奠定基础。

2.评估对象不同。风险评估的对象是可能影响资产的风险。业务影响分析则是评估一个特殊的业务流程在一段时期内不可产生的影响。即业务影响分析更关注业务流程时间的敏感度，不管企业是因为地震、龙卷风、火灾或是洪水导致的业务流程中断，其业务流程的时间敏感度都是一样的。而风险评估则会关注具体的中断原因，因为随后的控制措施会因原因的不同而不同。

3.步骤。

（1）风险评估的步骤：

a.确定范围内的资产价值。一般可根据资产的机密性、完整性和可用性来计算资产对组织的价值。

b.确定时间发生的可能性。首先应识别组织存在的脆弱点，来自组织内部和外部的，自然和人为的潜在威胁，现有的或计划的控制措施。考虑脆弱点的易被利用的程度、威胁发生的经常性和现有控制措施的有效性，最终确定安全事件发生的可能性。

c.确定产生后果的严重性。考虑丧失资产的机密性、完整性和可用性对组织造成的影响，可以用定量或定性的方式表示。

d.确定风险级别。根据以上三个因素，计算风险值，并根据风险评价准则得到具有优先级的风险清单。

（2）业务影响分析的步骤。

a.确定关键业务功能，每一个关键业务的流程及其中断所造成的影响都必须被确定。首先要进行业务流程分析，确定范围内的关键业务及各项流程之间的相关性。考虑非关键业务流程与关键业务流程之间的相互依赖关系将有助于管理者最终确定业务流程的优先顺序和对恢复时间表的总体影响。

b.确定业务中断造成的影响。应确定定量和定性的影响，比如，定量的影响有收益的减少、资本支出的增加，定性的影响有市场份额的减少、公共信心的减少等。

c.评估最大可容忍中断时间（MTD）。应确定在不能进行恢复之前，关键业务流程能够容忍的最长中断时间。进而应确定恢复目标，即恢复的时间目标（RTO）、恢复的时点目标（RPO）和业务恢复优先级。

d.确定支持各项业务流程的关键资源。实际的恢复过程需要一个彻底的资源需要评估，以确定尽快恢复关键业务流程及相关的依赖关系。可能的资源包括设施、人员、设备、软件、第三方关系等。

4.交付物。

（1）风险评估报告的关键提交物：组织的资产及价值；资产可能面对威胁；可能被威胁利用的脆弱点；现有控制措施及其有效性；事件发生的可能性以及真正发生时所造成的后果的严重程度；风险级别。

（2）业务影响分析报告关键提交物：哪些业务功能时组织赖以生存的；该业务功能的中断所造成的影响，包括财务影响、运作影响、客户影响、竞争力影响、市场影响、法律影响等；实施该业务功能所需要的支持资源有哪些；该业务的优先恢复级。

5.实施执行顺序。

（1）由于业务连续性规划的复杂性与长远性，很多企业会首先执行风险评估过程，从而确定出剩余风险，接着再针对这些日常安全管理中不能完全消除的剩余风险执行业务连续性规划，将其产生的负面影响降到组织科接受的程度。即风险评估先于业务影响分析。

（2）对于某些大型组织，要确定其所有的风险及其对资产的影响需要耗费大量的时间精力，因此，会首先执行业务影响分析，从而确定出支持关键业务流程的关键资源，接着再对这些资源执行风险评估，从而采取相应的控制措施。即业务影响分析先于风险评估。