为了确保敏感数据和宝贵资产得到适当的保护，需要风险管理审计功能。仔细检查哪些人有权访问敏感数据，以及这些访问是否恰当。审计功能也应该可以监控系统和内部人员，以检测非法活动。审查审计跟踪，以寻找安全事件和滥用权限。核实目录许可，薪金控制和会计系统配置。确保备份软件得到合适配置，并备份无误。在完全开放的允许下存储审查敏感信息的网络共享部分。进行办公场所的审查，以确定安全策略和程序在实际中是否得到遵守（例如，敏感材料没有丢之不理，锁定工作站屏幕以及确保笔记本电脑安全）。

　　当工作人员离职或者当他们的角色转变时，确保系统地废除访问权限。从人力资源部门获得目前职员的名单，并与活跃帐户（例如网络帐户，远程接入和服务器上的本地帐户）做比较。单机应用程序也要受到检查（例如语音邮件和公司名录）。

　　检查物理安全访问日志。特别注意工作时间后的和周末的雇员访问。如果发现可疑行动，可以参考监视录像和系统审计审查。

　　每个季度对上述确定的内容至少进行一次评估。尽可能多地进行自动化审计，以节约资源，并检测发生的安全侵害。如需更多资讯，请参阅IIA GTAG连续审计指南。

　　这篇文章简单介绍了如何减轻内部人士威胁。想要了解更多，请参阅“阻止和发现内部人士威胁的US-CERT常识指导”。ACM职业欺诈和滥用报告提供了如何诈骗的实例，以及预防和发现诈骗指南。雅虎内部威胁组（Yahoo insider-threat group）是一个很好的资源，可以时刻了解当前事件和最新发展，
正如你所看到的，来自内部的威胁是确实存在的。信任是必要的，但是进行控制和监管。