信息安全风险评估关注“资产”（系统、信息、人员、服务等），BCM风险评估关注“资源”（主要指人员、场地、技术设施、信息、供给、利益相关者（主要指员工、公安、消防、卫生等公共部门））。

信息安全风险评估关注资产的保密性、完整性、可用性，BCM只关注资源的可用性，基于业务角度的RA关注影响业务的业务要素（包括IT系统的稳定性）。

信息安全风险评估颗粒度可以是单一的信息系统。BCM的风险评估而是将所有信息系统作为一个IT资源，与人力资源、机房等基础设施资源、业务办公场所与设备资源等分类进行RA评估。

风险评估的方法一定跟风险的定义有关，不同的定义会造成不同的风险评估方法和计算公式。银监《19号文》里的信息科技风险的定义是：本指引所称的信息科技风险，是指信息科技在商业银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。提到了操作、法律、声誉三种类型的风险，如果没有分类的话信息科技风险的定量公式就很难计算，操作风险还有公式科技计算，法律、声誉风险就只能作为因子。现在银监将信息科技风险和操作风险作为两类风险单独提出，所以IT风险的计算方式也无法套用操作风险的算法，故无法计量到全行的风险体系里，只能是科技部门单独计算。