- a) Sikkerhetskopier bør være separert fra virksomhetens produksjonsmiljø. Se bl.a 2.1 - Ivareta sikkerhet i anskaffelses- og utviklingsprosesser.
- b) Tilgangsrettigheter til sikkerhetskopier bør begrenses til kun ansatte og systemprosesser som skal gjenopprette data.
- c) Det bør jevnlig tas offline sikkerhetskopier som ikke kan nås via virksomhetens nettverk. Dette for å hindre tilsiktet/utilsiktet sletting eller manipulering.
- d) Sikkerhetskopier bør beskyttes med kryptering når de lagres eller flyttes over nettverket. Dette inkluderer ekstern sikkerhetskopiering og skytjenester.