ISMSは仕組みを回していくことに意義がありますから、余り細部にこだわる必要はないと思います。私のところでは、ベースラインとリスクアセスメントは切り離して考えています。 「対象業務の定義→対象業務フローの書き出し→フローのなかで取り扱う情報資産の洗い出し→情報資産のリスク分析→リスク対策→詳細管理策適用」という流れでのリスクアセスメントの結果にもとづく管理策だけだと、ISO27001に定める詳細管理策133項目の一部に偏ってしまい、とても133もの詳細管理策をカバーすることは出来ないので、ベースライン(基準）として、規程や手順を設けて、必要な管理策をカバーするようにします。 別の言い方をすれば、適用宣言書で「適用するよ」とうたっている詳細管理策のうち、リスクアセスメントにもとづいて詳細管理策を適用しているものを差し引いた残りがベースラインによって適用している詳細管理策です。 ISMSを運用してリスクアセスメントを繰り返すことで、リスクアセスメントに基づいて対応する詳細管理策が増えていけばいいし、ベースラインで策定した規程や手順については、有効性評価のプロセスで「現実的か、ちゃんと守れるか、効果あるか」をチェックしてブラッシュアップしていくことになります。 だから、ベースラインによる詳細管理策についてはリスクアセスメントよりむしろ有効性評価がキモです。