Varmuuskopiointiin käytettäviä tietovälineitä ja varmuuskopioiden palauttamista testataan säännöllisesti, jotta voidaan varmistua siitä, että hätätilanteessa niihin voidaan luottaa.

Varmuuskopioiden palauttamisesta ylläpidetään tarkkoja ja täydellisiä ohjeita. Toimintaohjeiden avulla seurataan varmuuskopioiden toimintaa ja varaudutaan varmuuskopioiden epäonnistumiseen.

Kuvaamme tietojärjestelmälistauksen yhteydessä, minkä järjestelmien suhteen vastuu varmuuskopioinnin toteutuksesta on itsellämme. Organisaation omalla vastuulla olevat varmuuskopiointiprosessit on dokumentoitu ja jokaiselle on määritelty omistaja. Dokumentaatio sisältää mm.:

• millä järjestelmällä ja kuinka usein varmuuskopiot toteutetaan?
• kuinka varmuuskopiot suojataan (salaus, fyysinen sijainti)?
• kuinka pitkään varmuuskopiot säilytetään?

Organisaatio parantaa tietosuojaa käyttämällä varmuuskopiointiautomaatio-ohjelmistoja yrityksen omaisuuden rutiininomaiseen varmuuskopiointiin, määrittelemällä selkeän varmuuskopiointitiheyden ja -käytännön, käyttämällä redundanttiratkaisuja käytettävyyden lisäämiseksi sekä valvomalla ja testaamalla säännöllisesti varmuuskopioiden eheyttä.

Varmuuskopioiden kopiot on säilytettävä erillään organisaation tuotantoympäristöstä. Pääsy näihin kopioihin olisi rajoitettava vain työntekijöihin ja järjestelmäprosesseihin, jotka osallistuvat tietojen palauttamiseen.

Varmuuskopioita, joihin ei pääse käsiksi organisaation verkkojen kautta, olisi luotava säännöllisesti.

Näillä turvatoimilla varmistetaan varmuuskopioiden eheys ja saatavuus.

Palautuskyky viittaa siihen, miten nopeasti henkilötietojen saatavuus ja pääsy henkilötietoihin voidaan palauttaa fyysisen tai teknisen vian sattuessa.

Riittävien varmuuskopioiden avulla kaikki tärkeät tiedot ja ohjelmat voidaan palauttaa katastrofin tai tietovälinevian jälkeen. Tärkeä ensiaskel toimivassa varmuuskopioinnissa on tunnistaa, kenen vastuulla kunkin tiedon varmuuskopioiminen on. Varmuuskopioinnin vastuun selvittäminen on tieto-omaisuuden (järjestelmät, laitteisto) omistajien vastuulla.

Mikäli varmuuskopiointi on kumppanin vastuulla selvitämme:

• kuinka kattavasti kumppani varmuuskopioi tiedot?
• kuinka tiedot ovat tarvittaessa palautettavissa?
• mitä varmuuskopioinnista on sovittu sopimuksissa?

Mikäli varmuuskopiointi on omalla vastuullamme selvitämme:

• onko tietoihin liittyvä varmuuskopiointiprosessi olemassa ja dokumentoitu?
• onko varmuuskopioinnin kattavuus ja toteutussykli tietojen tärkeyden vaatimalla tasolla?

Riittävien varmuuskopioiden avulla kaikki tärkeät tiedot ja ohjelmat voidaan palauttaa katastrofin tai tietovälinevian jälkeen. Varmuuskopiointistrategian määrittämiseksi on tärkeää kartoittaa / päättää ainakin seuraavat asiat:

• Minkä tiedon varmuuskopiointi on omalla vastuullamme?
• Kuinka kriittistä mikäkin tieto on ja kuinka usein tämän perusteella mitkäkin tiedot on tarve varmuuskopioida ja kuinka laajasti (osittainen vai täydellinen kopio)?
• Missä varmuuskopioit säilytetään ja kuinka ne on suojattu?
• Kuinka pitkään varmuuskopiot on tarpeen säilyttää?
• Millä järjestelmällä varmuuskopiot otetaan?
• Kuinka varmistusmediat hävitetään luotettavasti?