베이스라인 접근법은 모든 시스템에 대하여 표준화된 보호대책의 세트를 체크리스트 형태로 제공한다. 이 체크리스트에 있는 보호대책이 현재 구현되어 있는지를 조사하여, 구현되지 않은 보호대책을 식별한다.
이러한 방식은 분석의 비용과 시간이 대단히 절약된다는 장점은 있으나, 과보호 또는 부족한 보호가 될 가능성이 상존하게 된다. 즉, 그 조직에 적합한 체크리스트가 존재하는 경우가 아니라면 위험분석을 하지 않는 것과 유사한 상태가 된다. 또한 이런 방식은 조직의 자산 변동이나 새로운 위협/취약성의 발생 또는 위협 발생률의 변화 등 보안환경의 변화를 적절하게 반영하지 못한다는 점이 있다. 그리고 체크리스트 방식은 담당자로 하여금 보안 상태 자체보다 체크리스트를 통해 나타나는 점수에 집착하게끔 하여 보안요구사항에 따른 우선순위보다는 구현 용이성에 따라 정보보호대책을 구현하게 되는 경향이 나타나기 쉽다.