Najlepsze praktyki „mówią”, że nawet najbardziej dopracowane środowisko IT wymaga okresowej weryfikacji, bo bezpieczeństwo to proces ciągły mający zapewnić firmie nieprzerwane funkcjonowanie. Okresowe audyty wymagane i regulowane są również przez prawo zarówno ogólne jak i sektorowe.