Varmuuskopiointiin käytettäviä tietovälineitä ja varmuuskopioiden palauttamista testataan säännöllisesti, jotta voidaan varmistua siitä, että hätätilanteessa niihin voidaan luottaa.

Varmuuskopioiden palauttamisesta ylläpidetään tarkkoja ja täydellisiä ohjeita. Toimintaohjeiden avulla seurataan varmuuskopioiden toimintaa ja varaudutaan varmuuskopioiden epäonnistumiseen.

Organisaatiolla tulisi olla määritelty ja hyvin dokumentoitu toipumissuunnitelma. Toipumissuunnitelma olisi voitava käynnistää häiriötilanteen aikana tai sen jälkeen. Elvytystoimet ja -toimenpiteet vaihtelevat vaaratilanteesta toiseen, esimerkiksi vaaratilanteen tyyppi voi vaikuttaa toteutettaviin toimiin. Näihin toimiin voivat kuulua:

• Häiriön aikana menetettyjen tai vahingoittuneiden tarpeettomien resurssien aktivointi uudelleen.
• Laitteiston ja ohjelmistojen uudelleenasentaminen vaurioituneisiin komponentteihin
• Konfiguraatioasetusten palauttaminen, mukaan lukien tarvittavat mukautukset
• Häiriön aikana pysäytettyjen palvelujen palauttaminen

Organisaation olisi omaksuttava "build back better" -ajattelutapa, kun se rakentaa ICT-järjestelmiä uudelleen. Tämä tarkoittaa, että järjestelmät olisi rakennettava uudelleen parempaan tilaan kuin ne olivat ennen häiriötä.

Organisaatiolla tulee olla kuvaus tietoaineiston sisällön säilytysajasta sekä arkistoon siirtämisestä, arkistointitavasta ja arkistopaikasta tai tuhoamisesta. Tietoaineiston säilytysajan päättymisen jälkeen tietoaineistot on arkistoitava tai tuhottava viipymättä tietoturvallisella tavalla.

Kun tuhotaan tietojärjestelmien sisältämiä tietoja, seuraavat seikat olisi huomioitava:

• sopiva tuhoamistapa (esim. ylikirjoitus, kryptografinen pyyhintä) valitaan toiminnalliset ja lakisääteiset vaatimukset huomioiden
• tarpeellisuus todisteiden säilyttämiselle tiedon tuhoamisesta käsitellään
• hyödynnettäessä kolmansia osapuolia tietojen tuhoamiseen käsitellään todisteiden vaatiminen sekä tuhoamisvaatimusten sisällyttäminen toimittajasopimuksiin

Tietoaineiston arkistointi- tai tuhoamisprosessi määritellään dokumentaation yhteydessä ja tietoaineiston omistaja vastaa sen toteutuksesta.

Säilytyksen rajoittaminen on yksi henkilötietojen käsittelyn periaatteista. Mikäli tietoaineiston säilytysajasta ei ole säädetty laissa, säilytysaikoja määritettäessä tulee huomioida esimerkiksi:

• tietoaineiston alkuperäisen käyttötarkoituksen mukainen tarpeellisuus
• luonnollisen henkilön tai oikeushenkilön etujen, oikeuksien, velvollisuuksien ja oikeusturvan toteuttaminen ja todentaminen
• sopimuksen tai muun yksityisoikeudellisen oikeustoimen oikeusvaikutus
• vahingonkorvausoikeudelliset vanhentumisajat
• rikosoikeudelliset vanhentumisajat

Kuvaa oma prosessinne säilytysaikojen oikeellisuuden arvioimiseen.

Riittävien varmuuskopioiden avulla kaikki tärkeät tiedot ja ohjelmat voidaan palauttaa katastrofin tai tietovälinevian jälkeen. Varmuuskopiointistrategian määrittämiseksi on tärkeää kartoittaa / päättää ainakin seuraavat asiat:

• Minkä tiedon varmuuskopiointi on omalla vastuullamme?
• Kuinka kriittistä mikäkin tieto on ja kuinka usein tämän perusteella mitkäkin tiedot on tarve varmuuskopioida ja kuinka laajasti (osittainen vai täydellinen kopio)?
• Missä varmuuskopioit säilytetään ja kuinka ne on suojattu?
• Kuinka pitkään varmuuskopiot on tarpeen säilyttää?
• Millä järjestelmällä varmuuskopiot otetaan?
• Kuinka varmistusmediat hävitetään luotettavasti?