持续流动的用户因素是一种重要的网络因素。根据人力资源部门的记录定期检查网络账户和他们的权限非常重要，这能够保证不再使用的账户已经被终结使用，从而可以对人员进行正确的权限分配。你可以把这个和其他雇员相关的检查结合起来，比如保证责任和遵从跟密码策略（比如过期和复杂性）分离开来。

　　虽然，并不是每个网络安全控制都需要以同样的频率进行检查，但是所有的安全控制都应该是定期进行的，这包括一些最基本的检查，比如：物理安全、文档备份以及损毁、补丁系统等。正在执行的备份符合政策和遵从要求吗？数据报废符合数据的分类吗？为了保证备份和存储能够正常工作，这些过程最近被测试过吗？自动补丁程序功能正确吗，它们在合适的时间框架内进行了更新吗？

　　如果你负责网络安全，并把执行这些检查作为正常工作周期的一部分，那么当需要执行较大规模网络审计的时候，所需要做的工作会变得更简单。你可以为大型审计做准备，而且内部审计只需要对一些常规检查以外的内容进行核查就可以了。

　　这些措施包括：评估补丁过程、验证每个政策的备份性能、评估物理安全控制的有效性，以及确保对相关监管标准要求的遵守。

　　对于许多公司来说，并不总是可以选择审计方式。如果你的系统需要遵守特定的标准——比如PCI数据安全标准——那么必须邀请外部审计人员来对公司进行审计。就算没有这些要求，外部网络安全审计也会是一个更好的选择；如果你怀疑内部有威胁的话，这可能也是唯一的选择。比如出现一些情况：你怀疑公司内部有不坏好意的网络管理员，或者企业有太多的远程办公室，内部人员忙不过来，不能保证在所有的地点都执行了公司政策等。

　　最后，再说一点对安全审计老生常谈的话题。不管是内部的、外部的或者和遵从标准有关的审计，没有任何的审计能够保证一个网络是安全的。就算是一个网络已经被审计过了，也并不意味着它将一直保持这样的安全性。执行审计的真正好处是通过审计获悉怎样提高安全控制，怎样处理任何报告的问题，以及怎样把信息安全需求、风险减少跟业务目标更紧密的联系起来。而所有这些都使得网络安全审计成为一项很有意义的工作。