Backup af data: Der tages løbende kopier af data til backup. Data lagres på en måde, så de ikke kan slettes – også kaldet WORM (Write Once, Read Many).
Procedurer for tildeling af adgange sikrer, at samme person ikke har adgang til både produktionsdata og kopien af disse data. Hvor dette ikke kan undgås, er adgangene delt, så det kræver forskellige brugerkonti at tilgå dem.
Intervaller mellem backup: Jo længere tid der går, mellem data kopieres til backup, desto større datatab kan opleves, hvis backup skal anvendes til at genetablere adgangen til data. Den tid, der går mellem hver kopiering af data, bestemmes ud fra risikovurderingen – altså en vurdering af, hvor lang tid tilbage seneste kopi må være taget, før konsekvensen kan blive for stor for de registrerede. I en backup-strategi angives intervaller og typen (fulde/inkrementelle kopier).
Alarm: Hvis backup er automatiseret, sikrer en alarm, at det bliver opdaget, hvis den automatiske backup fejler.
Backup af software og hardware: Det undersøges, hvilken hardware og software, der kan generhverves og hvor hurtigt. Det gælder fx fysiske servere, operativsystem, database-software, licenser, krypteringsnøgler, mv. Alternativt sikres det, at også disse elementer findes i en kopi.
Fysisk placering af backup-kopi: Den fysiske placering afgøres ud fra risikovurderingen, dvs. ud fra en vurdering af, hvilke trusler der kan ramme den fysiske lokation, hvor de originale data ligger. Hvis der fx er en mulighed for, at it-systemer ødelægges af en oversvømmelse, så placeres kopien et sted, der ikke kan blive ramt af samme eller andre oversvømmelser skabt af samme uvejr.
Logisk placering (netværksmæssig placering): Backup lagres et sted, hvor der er mere begrænset adgang, idet kun få (it-administratorer) har behov for adgangen. De netværk, der opbevarer produktionsdata og backupdata er ikke netværksmæssigt forbundet, fx ved at backup ligger hos en backup-leverandør. Hvor dette ikke kan undgås, er netværkene segmenteret fra hinanden via firewall, som begrænser adgangen til det absolut nødvendige, så backup er bedre beskyttet imod hackerangreb, som kan ramme andre dele af netværket.
Test af backup-kopi: Det testes med jævne mellemrum, om backup udføres med de forventede intervaller (hyppighed), om backup-kopien er tilgængelig, om backup-kopien indeholder alle relevante data (omfang), om backup-kopien er retvisende (integritet). Sidstnævnte kan fx være en type integritets-test (checksum eller andet).
Test af genetablering: Det testes, om data reelt kan genindlæses og anvendes i et it-system. Dette er en test af, (1) om genetablering kan udføres med eksisterende vejledninger/procedurer, (2) at alt det, som der er kopier af (hardware, software, data) kan fungere sammen, og (3) at genetablering kan ske hurtigt nok ift., at konsekvensen normalt stiger med tiden (Recovery Time Objective).
Sletning efter backup: Der fastsættes procedurer, som sikrer, at data, der skal være slettet, bliver slettet igen efter anvendelse af en backup, så der ikke opbevares data i længere tid end nødvendigt, jf. herved databeskyttelsesforordningens artikel 5.
Det sikres, at anvendelsen af backup – og dermed spredningen af data – ikke øger risikoen for de registrerede. Det sker ved, at transmission og opbevaring af data i backup er sikret imod uvedkommendes adgang, og ved at håndteringen af data i backup sker under den dataansvarliges kontrol. Det sker gennem databehandleraftaler og ved kryptering af data, før overførsel og opbevaring.